Google bloque Xiaomi de sa plate-forme en raison d'un incident de sécurité

Xiaomi Surveillance Cameras Security Bug

Les gens ont tendance à réagir de manière excessive aux nouvelles de cybersécurité de temps en temps, en particulier lorsque l'incident tourne autour d'un nombre croissant d' appareils IoT qui deviennent une partie intégrante de notre vie quotidienne. Parfois, les chercheurs en sécurité trouvent des vulnérabilités dans ces gadgets, qui créent souvent des titres apocalyptiques et des prédictions de catastrophe imminente. Dans certains cas, cependant, l'attention des médias n'est absolument pas justifiée car la vulnérabilité est difficile à exploiter et une attaque à l'état sauvage n'est pas pratique.

Récemment, les gens ont parlé d'un bug dans l'une des caméras de surveillance bon marché de Xiaomi. Il a attiré pas mal de reportages, à la fois des médias spécialisés et grand public. Nous allons maintenant essayer de savoir si l'ensemble du brouhaha est justifiable.

Un mélange de flux vidéo peut avoir de graves conséquences sur la confidentialité

La première chose que nous devrions probablement mentionner est que le bogue n'a pas été découvert par un chercheur en sécurité. Il a été divulgué la semaine dernière par un utilisateur de Reddit, surnommé Dio-V, qui avait acheté une caméra de surveillance IP bon marché sur Internet. La caméra en question était le Xiaomi Mijia 1080p - une solution apparemment parfaite pour quiconque essaie d'obtenir une surveillance vidéo à petit budget. En plus du prix attractif d'environ 20 $, le Mijia 1080p offre également une intégration avec Google Home et Alexa d'Amazon.

Un propriétaire de Google Home, Dio-V, était impatient de connecter la nouvelle caméra Xiaomi à son réseau et de voir comment cela fonctionne. Il l'a connecté à son appareil Nest et a tenté d'accéder au flux vidéo. Au lieu de voir une pièce familière, cependant, il a vu une photo fixe de la maison de quelqu'un d'autre. Intrigué, il a rafraîchi le flux et il a été accueilli avec une autre image fixe, cette fois de la maison d'une autre personne.

Les horodatages sur les images suggéraient que les caméras que Dio-V regardait étaient situées dans différentes parties du monde. Ce sont toutes des caméras Xiaomi Mijia 1080p, ce qui a donné à Dio-V une assez bonne idée de l'endroit où se trouve le bug.

Il a partagé ses découvertes sur Reddit , et le fil est devenu viral assez rapidement. Cela ne devrait pas vraiment être une surprise.

Google suspend les intégrations de produits Xiaomi Home en raison du bogue

Le bug découvert par Dio-V était extrêmement grave. Certaines des images divulguées ont été corrompues, mais malgré cela, la vulnérabilité signifie que des photos de personnes sans méfiance ont été divulguées alors qu'elles étaient dans l'intimité de leur propre maison. De plus, alors que l'exploitation d'autres failles de sécurité IoT nécessite souvent une certaine forme de «piratage», de deviner les mots de passe ou de rechercher des réseaux mal configurés sur Internet, dans le cas de la caméra IP bon marché de Xiaomi, le bogue se manifeste au moment où l'utilisateur prend le appareil hors de la boîte. Pour cette raison, Google n'a pas attendu de seconde invitation, et il a immédiatement suspendu toutes les intégrations de Xiaomi Mi Home avec Google Home, malgré le fait que le géant chinois de l'électronique n'avait pas confirmé l'existence du problème à l'époque.

Plus tard, Xiaomi a admis que le bug était réel. Cela est dû à une mise à jour du cache mise en place le 26 décembre qui a été conçue pour améliorer la qualité de diffusion de la caméra. Selon un communiqué cité par Android Police , la vulnérabilité a eu un impact limité. Xiaomi a apparemment découvert que seules 1 044 caméras étaient affectées, et parmi elles, seuls ceux qui avaient une mauvaise connexion réseau auraient pu montrer des images des maisons d'autres personnes. Le fournisseur s'est excusé pour le problème et a assuré aux utilisateurs qu'il était désormais résolu. Cependant, on ignore si Google a restauré les intégrations de Xiaomi Mi Home.

Dans ce cas particulier, nous pouvons affirmer sans risque que l'attention que cet incident a attirée est entièrement justifiable. Pire encore, cela sert de preuve que plus le monde devient connecté, plus nous verrons de bugs comme celui-ci. Xiaomi n'est pas le premier grand fournisseur à découvrir que ses produits peuvent compromettre la vie privée des gens, et vous pouvez être sûr que ce ne sera pas le dernier. C'est une chose à laquelle vous devriez probablement réfléchir avant de connecter le prochain gadget de nouveauté à votre réseau Wi-Fi domestique.

January 9, 2020

Laisser une Réponse