Faible impact mais souvent impossible à corriger
Ah, l’Internet des objets. Une fois de plus, la nouvelle solution informatique omniprésente démontre les répercussions de l’inondation du marché avec des grille-pain, des barbecues et des chauffe-tasses connectés à Internet bon marché, sans aucune pensée pour la sécurité. L’attaque d’usurpation Bluetooth Low Energy récemment publiée décrit une vulnérabilité présente sur des milliards d’appareils, dont beaucoup n’ont aucun processus pour pouvoir installer un correctif.
La vulnérabilité tire parti d’un codage paresseux et d’un libellé vague dans la spécification BLE qui a permis à ce code de passer l’examen. Le verbiage n’indique pas clairement que les appareils doivent s’authentifier à nouveau après s’être déplacés hors de portée d’une connexion et tant de fabricants l’ont considéré comme facultatif et leurs appareils ne le font pas.
La bonne nouvelle pour vos appareils plus gros est que la pile Windows BLE est immunisée, Apple a poussé un correctif sur tout appareil capable de se mettre à jour en juin et de nombreux appareils basés sur Linux peuvent être immunisés en dépréciant simplement un morceau du code exécuté sur l’appareil. . Votre téléphone n’est pas vraiment le problème ici, mais c’est votre babyphone, votre bouton Amazon Dash mort, votre système de sécurité domestique et qui sait combien d’appareils dans les hôpitaux.
Comme ces appareils IoT moins chers n’ont jamais été conçus pour être corrigés et comme trop nombreux l’ont découvert, pris en charge uniquement par le fabricant pendant quelques années, des milliards d’appareils seront vulnérables à cette attaque. Il n’a pas été vu à l’état sauvage par les chercheurs Slashdot lié à mais ce n’est qu’une question de temps avant que quelqu’un ne trouve un moyen de s’en servir. Les appareils peuvent se retrouver sur un bot net, ou des signaux vidéo et audio redirigés ou sur l’un des nombreux éléments qu’un enfoiré créatif pourrait proposer.
Y a-t-il eu un abus de langage plus flagrant que les appareils intelligents dans un passé récent?