Amazon Ring : lors de la configuration, le mot de passe Wi-Fi transitait en clair sur le réseau
Le 08 novembre 2019 à 09h14
1 min
Internet
Internet
Le pot aux roses a été découvert par Bitdefender en juin 2019. Après un échange avec les équipes d'Amazon, un correctif a été déployé début septembre. Les détails viennent seulement d'être dévoilés.
Le principe est on ne peut plus simple : lors de la configuration de la sonnette, le smartphone envoie le mot de passe Wi-Fi pour qu'elle puisse se connecter au réseau. Problème, la communication passe par du HTTP classique, sans aucun chiffrement.
Bref, durant cette phase le mot de passe était envoyé en clair, laissant d'éventuelles oreilles indiscrètes le récupérer. Des informations techniques sont disponibles par ici.
Le 08 novembre 2019 à 09h14
Commentaires (4)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/11/2019 à 12h53
Amazon n’avait pas les moyens de payer un développeur une journée de plus pour qu’il finisse de mettre ça au propre…
" />
Le 08/11/2019 à 17h01
Un certificat Let’s Encrypt, ça coûte trop cher pour Amazon.
" />
Le 08/11/2019 à 19h02
D’un autre côté, le risque est assez limité.
" />
Il faudrait surveiller la cible au moment précis où la sonnette est installée (ou le code modifié) pour obtenir le code. Statistiquement c’est assez tendu, sauf à être suivi de près par un ennemi mortel ou la DRI et là je crois qu’installer une sonnette connecté n’est pas la priorité du moment pour la personne concernée
Après ça n’excuse rien, ça montre que certains réflexes ne sont pas encore acquis côté développeurs/ingénieurs…
Le 12/11/2019 à 17h13