Segway Ninebot MiniPRO
Produits et Services PRODUITS & SERVICES

Segway Ninebot MiniPRO piraté !

Une société à découvert comment pirater et contrôler à distance un hoverboard de type Segway Ninebot MiniPRO, en profitant notamment du problème toujours récurrent qui est le mot de passe par défaut ou code en dur qui n'est pas changé!

Des experts en sécurité ont découvert que le Segway Ninebot MiniPRO, un soi-disant “hoverboard” pouvait être piraté et contrôlé à distance.

Cette attaque est rendue possible par deux oublis majeurs : chaque Segway Ninebot MiniPRO a le même code PIN et aucun ne se préoccupe de vérifier l’authenticité de son firmware. Selon IOActive, la société qui a découvert la vulnérabilité :

Bien que l’utilisateur puisse définir un PIN, cet hoverboard ne modifie pas réellement son PIN par défaut … Cela m’a permis de me connecter via le Bluetooth en contournant les contrôles de sécurité. Je pourrais également divulguer les différentes communications entre l’application et l’hoverboard, car elles n’étaient pas chiffrées.  

Les experts ont pu utiliser ces défauts pour installer leur propre firmware et s’en donner à cœur joie avec ces hoverboards piratés : en les éteignant, en changeant les couleurs de leurs lumières, en désactivant les mécanismes de sécurité ou simplement en les conduisant (mais en ne les faisant pas voler !).

Depuis de nombreuses années, on a compris que les mots de passe codés en dur ou par défaut sont une très mauvaise idée, mais découvrir qu’un équipement récent et innovant comme le Segway Ninebot MiniPRO en possède un, n’est pas vraiment la surprise à laquelle on s’attendait. Le “PRO” fait partie de l’IoT (Internet of Things) et l’IoT a récemment donné aux mots de passe codés en dur, ainsi qu’à de nombreuses autres mauvaises idées, une nouvelle jeunesse !


Billet inspiré de News in brief: moving Segway hacked; Google Glass resurrected; 308 Oracle fixes, sur Sophos nakedsecurity.

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *