A l'occasion de la RSA Conférence, Bitdefender a révélé plusieurs vulnérabilités critiques sur des objets connectés, parmi lesquels le babyphone : iBaby Monitor. Dans une démarche éthique, Bitdefender a tout d’abord envoyé plusieurs alertes au fabricant, mais qui sont restées sans réponse à ce jour.  

Les vulnérabilités importantes au sein des iBaby Monitor pourraient permettre à des cybercriminels d’accéder à distance à n’importe quelle caméra et aux données privées, photos ou vidéos de tous les utilisateurs, ainsi qu’à leurs informations personnelles (Nom, email, adresse et leur photo de profil de leur compte utilisateur).

Les vulnérabilités détectées sont les suivantes :

• Accès aux fichiers stockés sur S3 AWS :

La caméra d’iBaby Monitor utilise une clé secrète et une clé identification d’accès pour télécharger des alertes dans le cloud. Ces clés peuvent être utilisées pour accéder aux listes des répertoires AWS et télécharger toutes les toutes vidéo ou photo enregistrer dans le service de stockage Cloud, par n’importe quelle caméra dont les alertes (mouvement et/ou son) sont activées.

• Fuite d’informations par le service MQTT :

Le service MQTT (protocole de messagerie) permet l’accès à distance de la caméra (CVE-2019-12268). Si un attaquant surveille le serveur MQTT lorsqu’un utilisateur configure sa caméra, des informations critiques lui seront divulguées. Ce qui laissera le champ libre à l’attaquant, qui pourra diffuser des vidéos en continu, prendre des captures d’écran, enregistrer des vidéos ou écouter de la musique en utilisant les informations d’identification obtenues.

• Fuite d’informations personnelles des utilisateurs via une vulnérabilité IDOR (Indirect Object Reference) :

L’attaquant peut demander les informations personnelles des utilisateurs : leur nom, adresse email, adresse, photo de profil mais aussi leurs horodatages indiquant les moments où l’utilisateur s’est connecté à sa caméra.