Les chercheurs ont piraté à distance les serrures intelligentes U-Tech ; Aucune autre marque concernée

Last updated Avr 11, 2022

U-Tec

Vous avez peut-être vu que des chercheurs ont découvert un hack pour ouvrir des serrures intelligentes avec juste une adresse Mac. La bonne nouvelle est qu’une seule marque de serrures intelligentes, U-Tec, a eu le problème. Et mieux encore, c’est patché. Mettez à jour vos serrures intelligentes maintenant si vous possédez une serrure intelligente UltraLoq.

Récemment, des chercheurs ont découvert qu’avec des outils relativement simples (bien que techniques), ils pouvaient déverrouiller à distance les serrures intelligentes U-Tech UltraLoq avec juste une adresse MAC. Obtenir toutes les informations pour pirater la porte n’était pas difficile, car la serrure elle-même diffusait les données. Heureusement, la société a déjà mis en place un correctif.

Les serrures intelligentes sont un ajout pratique à votre maison et peuvent vous aider avec la sécurité. En plus de déverrouiller et de verrouiller votre maison à distance ou sans creuser de clé, vous pouvez activer des minuteries et des routines pour vous assurer que la porte est verrouillée lorsque vous partez ou pendant la nuit. Mais ajouter une radio à n’importe quel visage de votre maison introduit finalement une vulnérabilité.

Dans le cas des serrures intelligentes, il s’agit d’un risque négligeable, car toutes les serrures sont déjà vulnérables au crochetage. Comme démontré à maintes reprises sur YouTube, il est probablement plus facile et moins cher d’apprendre à crocheter des serrures que d’apprendre à pirater des appareils IOT.

Pourtant, cela ne laisse pas les casiers intelligents décrochés, tous les appareils axés sur la sécurité, comme une serrure, doivent être sécurisés de toutes les manières possibles. Malheureusement pour U-Tec, qui fabrique la serrure intelligente UltraLoq, les chercheurs de Tripwire ont découvert des failles béantes dans la sécurité de l’entreprise. Les chercheurs ont recherché des vulnérabilités MQTT et en ont trouvé dans la configuration UltraLoq.

MQTT est un système que de nombreux fabricants d’IOT utilisent pour diffuser des messages entre appareils. Les chercheurs de Tripwire utilisent les thermostats et les systèmes CVC comme exemple. MQTT permet aux thermostats de différentes pièces de diffuser des informations sur la température de la pièce et le système CVC de « s’abonner » et de réagir de manière appropriée.

Dans le cas des serrures intelligentes UltraLoq, ce système est utilisé entre la serrure intelligente et un pont Wi-Fi couplé Bluetooth. Il s’agit d’un système standard utilisé dans les serrures intelligentes pour ajouter une capacité à distance tout en gardant la serrure petite et compacte.

Après quelques recherches, les chercheurs ont découvert qu’UltraLocs diffusait des informations sur Internet contenant des adresses e-mail et d’autres données. Un examen plus approfondi du verrou a révélé une méthode pour récupérer l’adresse Mac, l’adresse IP et plus encore du verrou. C’est assez d’informations pour identifier des individus, et même déverrouiller une porte à distance.

La bonne nouvelle est que Tripwire a divulgué le problème à U-Tec de manière responsable et a fourni de nombreux détails sur le problème. Au début, les correctifs d’U-Tec n’ont pas résolu le problème, mais Tripwire a continué à fournir des commentaires. Finalement, U-Tec a bien compris, et maintenant Tripwire divulgue publiquement l’information.

Chaque appareil domestique intelligent que vous introduisez dans votre maison est une nouvelle source de vulnérabilité. C’est quelque chose à garder à l’esprit si vous envisagez d’ajouter quelque chose de connecté à Internet dans votre maison. Mais les fabricants responsables corrigeront les vulnérabilités découvertes, donc si vous avez des appareils domestiques intelligents, la chose la plus importante à faire est de les tenir à jour.

Source: Tripwire

Source d’enregistrement: www.reviewgeek.com