Les caméras connectées SmartCam de Samsung sont à nouveau victimes d’un problème de sécurité. Il est possible d’exploiter une faille à distance pour exécuter des commandes arbitraires avec des droits root. La faute à des demi-solutions prises par le passé.
La série SmartCam de Samsung existe depuis plusieurs années et a déjà été rencontré plusieurs problèmes de sécurité. Ces objets connectés, dont toute la gamme a été revendue à Hanwha Group en 2015 (devenue Hanwha Techwin depuis), avait vu son interface d’administration distante supprimée. Une faille permettait notamment d’en changer le mot de passe administrateur sans disposer de l’ancien. Après quoi les seules possibilités d’administration passaient par le site officiel et l’application mobile dédiée.
Un composant désactivé, mais toujours présent
Les Exploiteers, un collectif de chercheurs/hackers, tire à nouveau la sonnette d’alarme, eux qui avaient déjà mis le doigt sur plusieurs des problèmes précédents. Il existe en effet un sérieux souci dans la solution adoptée précédemment : l’interface locale d’administration a été désactivée, mais pas le serveur web sous-jacent. Or, en passant par un moyen détourné, on peut toujours l’exploiter, voire la réactiver.
Le modèle SmartCam SNH-1011, sur lequel l’exploitation a pu prendre place, contient donc le fameux composant, accompagné d’un certain nombre de scripts PHP. Ces derniers sont normalement liés à un service de surveillance nommé iWatch. Or, l’un d’eux – qui permet en temps normal de mettre à jour le service – contient une faille. Elle réside dans la manière dont il s’occupe normalement de l’assainissement du nom de fichier responsable de la mise à jour.
Des commandes exécutables avec des droits root
Si des pirates parviennent à exploiter la faille, ils sont alors en capacité d’injecter des commandes shell, qui seront alors exécutées par le serveur web, resté actif. Comme l’expliquent les hackers qui ont découvert le problème, « la vulnérabilité dans Install.php peut être exploitée en utilisant un nom de fichier spécialement conçu, qui est ensuite stocké dans une commande tar, envoyée vers un appel php system() ».
Malheureusement, en plus d’une activation n’a jamais été coupée, le serveur web fonctionne avec des droits root, donc les plus hauts. En conséquence, même si le nom de fichier est fourni par un utilisateur quelconque, aucun contrôle n’a lieu et les commandes peuvent donc accomplir à peu près tout et n’importe quoi.
Toute la gamme serait vulnérable
Selon les chercheurs en sécurité, la faille a été trouvée dans le modèle SNH-1011 mais serait exploitable avec l’intégralité de la gamme SmartCam. Par ailleurs, le pirate peut utiliser les commandes avec les droits root et réactiver l’interface d’administration, simplifiant les futures opérations. Les Exploiteers publient d’ailleurs un « proof-of-concept » (prototype) permettant de réaliser cette étape.
Ce point est particulièrement dangereux car l’interface donne accès aux fonctions de surveillance. Or, puisqu’il s’agit à la base d’une caméra vendue aux particuliers pour surveiller notamment leur domicile, il devient littéralement possible d’espionner l’espace filmé. D’autre part, puisque l’interface a été seulement désactivée et non supprimée, son retour se fait… avec d’anciennes failles qui avaient été signalées, mais jamais corrigées.
Les mêmes faiblesses qui ont permis à Mirai de créer de vastes botnets
La découverte des Exploiteers est intéressante à plus d’un titre. Elle informe évidemment les possesseurs de ce modèle – et potentiellement ceux des autres dans le gamme – qu’ils feraient mieux pour l’instant de débrancher la webcam, car il n’existe actuellement aucun correctif officiel pour colmater la brèche, si on met de côté le code fourni par les Exploiteers. Elle permet également d’ajouter une couche sur le constat négatif de la sécurité général des objets connectés.
Le fait même qu’il s’agisse d’une caméra IP rappelle directement le cas de Mirai et l’exploitation en botnet de tels objets, assemblés en réseaux. Ils peuvent ensuite déclencher de vastes attaques distribuées par déni de service, comme on a pu le voir avec Dyn.
Objets connectés : attention au choix à l'achat
Plus globalement, la démonstration des chercheurs montre encore une fois à quel point la sécurité des objets connectés, particulièrement dans les gammes vendues au grand public, confine parfois au ridicule. Car dans la grande majorité des cas, les clients ne sont pas au courant de l’intense activité dans le domaine de la sécurité et peuvent se retrouver nettement démunis face à d’éventuelles menaces.
Dans le cas présent, il est bien peu satisfaisant qu’une entreprise ait jugé suffisant le fait de désactiver seulement l’interface d’administration. Si cette fonction ne devait plus être utilisée par les clients, la solution la plus adaptée aurait sans soute de la supprimer complètement. Le serveur web sous-jacent, s’il ne peut probablement être coupé entièrement, devrait avoir quant à lui des contrôles supplémentaires, ne serait-ce que pour vérifier un tant soit peu le nom des fichiers qui lui sont envoyés.
Si vous devez acheter prochainement ce type de produit, nous ne saurions que trop vous recommander de prendre soin à votre choix. Renseignez-vous sur la manière dont le constructeur aborde la sécurité, si le produit a déjà eu des problèmes par le passé, la manière, l’efficacité et la rapidité de la solution proposée, etc. Les objets connectés peuvent rendre bien des services mais, comme l’indiquait récemment Mozilla, ils peuvent être synonymes d’intrusion dans la vie privée.
Commentaires (11)
#1
C’est quand même fou cette nonchalance vis-à-vis de la sécurité
On parle d’une caméra domestique quand même
J’espère que les constructeurs vont vite se réveiller…
#2
#3
News prouvant la dangerosité de l’IoT, numéro 387.
Rendez-vous au prochain épisode, “Le correctif des SmartCam de Samsung est incomplet”.
#4
Trop cher de couper le serveur http au moins sur le WAN ?
En fait l’IoT c’est craignos, à cause des fabricants qui prennent les consommateurs pour des cons, le pire c’est que ça marche.
Mais avec deux trois problèmes de plus la donnent pourrait changé et Mme Michu verra sur Télématin une critique acerbe de “Laura du Web” (" />) et prendra soudainement conscience que non son bébé n’est pas seulement vu par elle, mais aussi par des messieurs mal intentionnés.
#5
Comment sais-tu de façon sûre qu’une adresse IP n’est pas locale ? On n’est pas sur un routeur connecté au WAN, ici.
#6
Pour le serveur web, si la range est publique on ne communique pas sauf si c’est vers les serveurs du cloud.
Après je ne connais pas le mécanisme interne pour la publication sur le cloud, mais j’imagine qu’il ne passe par le serveur web pour ça" />
Range privée : https://tools.ietf.org/html/rfc1918
#7
Ça donne pas envie d’acheter une caméra connectée.
😅
#8
Chouette j’en ai une, qui m’a coûté un bras en plus.
Heureusement que mes enfants ont grandi et que je ne l’ai pas allumée depuis des mois…
Je ne pensais pas avoir affaire à un comportement si minable sur la sécurité en achetant un produit Samsung, ça me servira de leçon et je suivrai bien les conseils en fin d’article la prochaine fois. Mais je sens que les produits “cloud” ça va être fini pour moi, je vais prendre des trucs plus simples et me sortir les doigts du c pour m’y donner un accès extérieur direct à peu près sûr.
#9
De mémoire à l’époque dans les Pigeons il y avait eu un sujet là dessus où ils montraient que la plupart des utilisateurs de caméras connectées n’avaient aucune idée de comment ça se configure niveau sécurité et que du coup c’était open bar pour mater ce qui se passe chez eux/dans leur magasin pour quiconque sait comment choper les flux balancés “dans la nature”. (après je n’ai aucune connaissance sur le sujet mais j’imagine que c’est probablement un peu moins simple qu’il n’y parait)
#10
À l’époque des problèmes d’IP de je-ne-sais-plus-quel fabricant, t’avais une liste d’adresses IP, tu les entrais dans ton navigateur, et t’avais accès au flux vidéo des caméras. Certaines donnaient sur des magasins ou des entrées de garage, mais d’autres sur le salon, sur la chambre conjugale, ou même sur le berceau de bébé (ce qui est assez glauque).
Donc non, ce n’est pas forcément moins simple qu’il n’y paraît.
#11
D’où l’intérêt de coller les caméras et enregistreurs de vidéosurveillance sur un sous réseau isolé du net, après quand tu parles de ça à Mr Michu c’est comme si tu lui parlais Chinois.