Les chercheurs en sécurité disent qu’une smartwatch, populaire auprès des personnes âgées et des patients atteints de démence, aurait pu être amenée à laisser un attaquant prendre facilement le contrôle de l’appareil.

Ces montres sont conçues pour aider les patients à appeler facilement leurs soignants et pour les soignants à suivre l’emplacement de leurs patients. Ils viennent avec leur propre connexion cellulaire, afin de pouvoir travailler n’importe où.

Mais les chercheurs de Pen Test Partners, une société de sécurité basée au Royaume-Uni ont constaté qu’ils pouvaient inciter la smartwatch à envoyer de faux rappels de prise de pilules aux patients aussi souvent qu’ils le souhaitaient, ont-ils déclaré.

«Il est peu probable qu’une personne atteinte de démence se souvienne qu’elle avait déjà pris ses médicaments», a écrit Vangelis Stykas dans un article de blog. « Un surdosage pourrait facilement en résulter. »

Des chercheurs déclenchent l’alerte «prendre la pilule» sur une montre intelligente vulnérable. (Image: Pen Test Partners / fournie)

Les vulnérabilités ont été trouvées dans le système cloud principal, appelé SETracker, qui alimente la smartwatch. Le même système cloud alimente également des millions d’autres smartwatches de marque blanche et de suivi de véhicules à travers l’Europe, qui étaient tous vulnérables aux attaques de base, ont déclaré les chercheurs.

Les chercheurs ont trouvé une copie du code source qui alimente le système cloud back-end, permettant aux chercheurs de trouver des failles de sécurité dans le code. L’un des principaux défauts constatés était que le serveur utilisait une clé codée en dur qui, si elle était utilisée, un attaquant aurait pu envoyer des commandes pour contrôler à distance n’importe lequel de ces appareils.

Avec cette clé, un attaquant pourrait déclencher l’alerte «prendre des pilules», passer secrètement des appels téléphoniques depuis l’appareil, envoyer des SMS ou – dans le cas des pisteurs de véhicules – couper complètement le moteur.

Le code avait également des mots de passe et des jetons pour le stockage cloud de SETracker, qui, selon les chercheurs, stockaient les données téléchargées par ces appareils. Mais les chercheurs n’ont pas pu vérifier car cela aurait enfreint les lois sur le piratage informatique au Royaume-Uni.

Les chercheurs ont dit que le …

Voir la source de cette publication