Une faille permettait d'écouter et localiser les utilisateurs des casques Livall !
Par June Cantillon - Publié le
Une faille de sécurité pour les casques Livall
Les casques connectés permettent ce créer des groupes d'utilisateurs afin qu'ils puissent échanger vocalement au travers des microphones et haut-parleurs intégrés, le tout en partageant leur localisation. Cette fonctionnalité améliore très nettement la communication entre plusieurs personnes lors d'une ballade, et permet de vérifier où se trouve un éventuel retardataire.
Le chercheur en sécurité Ken Munro, fondateur de la firme Pen Test Partners a constaté une faille de sécurité au sein des applications dédiées du constructeur Livall, comptant plus d'un million d'utilisateurs. En effet, l'accès aux groupes d'utilisateurs était protégé par un simple code à 6 chiffres. Malheureusement ce dernier était trop facile à deviner par les esprits malveillants. Dans son billet de blog sur le sujet, le chercheur en sécurité indique :
Ce code de groupe à 6 chiffres n'est tout simplement pas assez aléatoire. Nous pouvions utiliser une attaque de force brute pour trouver tous les identifiants de groupe en quelques minutes seulement.
Localiser et écouter les utilisateurs
Une fois le code d'un groupe découvert, un esprit malveillant pouvait automatiquement l'intégrer, sans que les membres n'en soient alertés, ce qui lui permettait alors d'écouter les conversations entre les utilisateurs et connaitre leur localisation.
Il était donc trivial de rejoindre silencieusement n’importe quel groupe, nous donnant accès à l’emplacement de n’importe quel utilisateur et la possibilité d’écouter n’importe quelle communication audio de groupe. La seule façon de détecter un utilisateur malveillant au sein d'un groupe était que l'utilisateur à l'origine du groupe vérifie le liste des membres.
L'équipe de Ken Munro a contacté Livall le 7 janvier dernier afin d'alerter la firme sur la faiblesse de son système, sans réponse de la part du constructeur. Ce dernier a fini par déployer une mise à jour de ses applications comprenant un correctif améliorant le côté aléatoire des codes et ajoutant des lettres aux chiffres, mais n'a pas retiré ses applications, ni prévenu ses utilisateurs le temps de mettre le correctif en place.