Segway Ninebot MiniPRO piraté !

Cybercriminalité

Une société à découvert comment pirater et contrôler à distance un hoverboard de type Segway Ninebot MiniPRO, en profitant notamment du problème toujours récurrent qui est le mot de passe par défaut ou code en dur qui n’est pas changé!

Segway Ninebot MiniPRO

Des experts en sécurité ont découvert que le Segway Ninebot MiniPRO, un soi-disant “hoverboard” pouvait être piraté et contrôlé à distance.

Cette attaque est rendue possible par deux oublis majeurs : chaque Segway Ninebot MiniPRO a le même code PIN et aucun ne se préoccupe de vérifier l’authenticité de son firmware. Selon IOActive, la société qui a découvert la vulnérabilité :

Bien que l’utilisateur puisse définir un PIN, cet hoverboard ne modifie pas réellement son PIN par défaut … Cela m’a permis de me connecter via le Bluetooth en contournant les contrôles de sécurité. Je pourrais également divulguer les différentes communications entre l’application et l’hoverboard, car elles n’étaient pas chiffrées.  

Les experts ont pu utiliser ces défauts pour installer leur propre firmware et s’en donner à cœur joie avec ces hoverboards piratés : en les éteignant, en changeant les couleurs de leurs lumières, en désactivant les mécanismes de sécurité ou simplement en les conduisant (mais en ne les faisant pas voler !).

Depuis de nombreuses années, on a compris que les mots de passe codés en dur ou par défaut sont une très mauvaise idée, mais découvrir qu’un équipement récent et innovant comme le Segway Ninebot MiniPRO en possède un, n’est pas vraiment la surprise à laquelle on s’attendait. Le “PRO” fait partie de l’IoT (Internet of Things) et l’IoT a récemment donné aux mots de passe codés en dur, ainsi qu’à de nombreuses autres mauvaises idées, une nouvelle jeunesse !


Billet inspiré de News in brief: moving Segway hacked; Google Glass resurrected; 308 Oracle fixes, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.