Pirater un hoverboard Segway pour faire tomber son utilisateur, c'est trop facile !

Le miniPRO de SegwayLe miniPRO de SegwayIOActive, une société spécialisée dans la sécurité informatique, vient de montrer qu’il était possible de pirater le firmware d’un hoverboard pour en prendre le contrôle à distance, au risque de mettre son utilisateur en danger.

Un code qui ne sert à rien

L’appareil visé aujourd’hui est le miniPRO de Segway qui se distingue grâce à une application mobile contrôlant le véhicule. Les experts ont découvert que même si l’utilisateur change le code PIN du hoverboard dans l’application, le changement n’est pas envoyé au firwmware qui garde un PIN de « 000000 ». Il est donc possible d’utiliser une simple connexion Bluetooth avec ce code pour installer un firmware malveillant.

Une portée énorme

Une fois l’appareil piraté, il est possible d’en prendre le contrôle et contaminer d’autres miniPRO automatiquement. En effet, l’application a une fonctionnalité permettant de détecter les appareils à proximité en utilisant le GPS du téléphone. Cette information peut être utilisée par un pirate pour contaminer d’autres appareils vulnérables.

« IoT : Internet of Threats »

IOActive avait prévenu Segway en décembre dernier, et la compagnie a publié un correctif en avril 2017. Le risque d’attaque est donc maintenant limité. Ces recherches montrent tout de même l’importance de sécuriser ses applications mobiles et ses appareils connectés pour assurer la sécurité de ses consommateurs.

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
6 commentaires
Commenter depuis le forum
    Votre commentaire
  • Olivier de Ninebot by Segway France
    Comme noté sur l'article originel d'IOActive, la version v3.2 de l'application lancée en avril corrige ce problème qui n'était que sur les versions précédentes. Ils n'ont pas repéré le moindre problème sur cette version de l'app qui leur a été envoyée presque 3 mois avant la publication de leur article.

    Et la v4, sortie il y a plus d'une semaine et qui révoque toutes les versions antérieures, ajoute encore plus de sécurité sur ces questions.

    Donc pourquoi publier un article sur une faille de sécurité réglée depuis presque 3 mois ?
    0
  • David Civera
    Parce que les experts ont publié leur papier il y a quelques jours seulement et que c'est un sujet d'actualité intéressant et pertinent pour notre lectorat. C'est aussi important de souligner à vos consommateurs l'importance de mettre leur système à jour.
    0
  • Olivier de Ninebot by Segway France
    Non, le sujet n'est justement plus d'actualité depuis 3 mois, puisque résolu avec la v3.2... !

    IOActive explique d'ailleurs avoir reçue notre MaJ corrective après leur signalement à Ninebot-Segway en fin d'article... Mais oublie (?) de donner les résultats de leurs tests sur cette version utilisée par 100% de nos utilisateurs actifs depuis 3 mois.

    Cette MaJ v3.2, comme la v4 sortie il y a plus d'1 semaine, révoque les anciennes versions de l'application : aucun besoin pour nos consommateurs de penser à mettre à jour, puisqu'ils sont obligés de le faire pour utiliser l'application. 100% de nos utilisateurs actifs qui utilisent l'application sont en v4, comme 100% de nos utilisateurs actifs qui utilisent l'application étaient en v3.2 mi-avril.

    Par ailleurs, il faut au minimum 20 minutes de connexion Bluetooth avec un appareil, allumé et sans aucun utilisateur dessus, pour que le hack soit possible. On a vu des failles de sécurité un peu plus critique que ça... :)

    Ninebot-Segway a à coeur la sécurité de ses utilisateurs et de ses appareils, et l'a prouvé avec sa réactivité dans la correction de ce problème quand il a été remonté par les équipes d'IOActive.

    Nous espérons que les journalistes spécialisés qui relatent aujourd'hui cette faille comblée depuis 3 mois conserveront à l'esprit l'importance de retranscrire la vérité à des fins d'information du lecteur (et pas seulement du clic facile)... Cela passe notamment par la nécessité de ne pas induire en erreur ses lecteurs, et par exemple d'éviter les titres fallacieux (utilisez le passé dans votre titre par exemple, pas le présent...).
    0