Blake Janes, étudiant en informatique, Florida Tech.

Technologie de reconnaissance faciale à usage général IBM Nixes

Qu’on aime ou qu’on déteste, la technologie vidéo est là pour rester.

Il y a beaucoup à aimer: la possibilité de passer des appels en face à face dans un contexte de distanciation physique, de flexibilité du travail à distance et de télémédecine ne sont que quelques-unes de ses qualités de rachat. D’un autre côté, les inquiétudes concernant le pouvoir des entreprises et du gouvernement de surveiller les utilisateurs, le déplacement de main-d’œuvre et les menaces éthiques de l’intelligence artificielle peuvent être rebutantes.

Prenez l’exemple de Zoom. La plate-forme de vidéoconférence populaire a acquis une notoriété pour ses lacunes. L’application de conférence gratuite de Zoom a envoyé des données sensibles à Facebook sans en informer les utilisateurs, a été criblée de Zoombombing – intrusions indésirables dans les vidéoconférences – et a été réprimandée pour des allégations trompeuses sur les capacités de chiffrement de bout en bout.

Le PDG de Zoom s’est excusé de ne pas avoir répondu aux attentes en matière de confidentialité et de sécurité et a fourni une liste détaillée des problèmes entreprise travaille pour répondre. Eric S. Yuan a déclaré dans un article de blog tla plate-forme a été conçue principalement pour les entreprises. « Nous n’avons pas conçu le produit avec la prévoyance que, dans quelques semaines, chaque personne dans le monde pourrait soudainement travailler, étudier et socialiser depuis chez elle », a-t-il écrit.

Yuan a noté que Zoom a désormais un ensemble beaucoup plus large d’utilisateurs qui utilisent son produit d’une «myriade de façons inattendues», qui ont présenté des défis qui n’étaient pas prévus lors de la conception de la plate-forme. «Ces nouveaux cas d’utilisation, principalement destinés aux consommateurs, nous ont aidés à découvrir des problèmes imprévus avec notre plateforme», a-t-il déclaré.

La place de Zoom sous les projecteurs est largement due à la nature sans précédent de la pandémie. Les règles de travail en place sous COVID-19 ont rapidement modifié les opérations de manière significative à travers le monde. Basé uniquement sur des chiffres, jeil est raisonnable de supposer des vulnérabilités telles que des défauts de conception systémiques dans les applications connectées à Internet ne disparaîtront pas de si tôt. le nombre de appareils IoT actifs devrait passer à 24,1 milliards en 2030, contre 7,6 milliards fin 2019, selon Transforma Insights.

Il ne manque pas de des cas d’utilisation très médiatisés qui méritent d’être examinés, et ceux-ci servent à souligner valeur des évaluations des risques pendant la phase de conception et des recherches ultérieures sur les aveugles taches, notées Bahaman Sistany, analyste principal de la sécurité et chercheur chez Irdeto, une entreprise spécialisée dans la sécurité des plateformes numériques et les industries connectées à l’IoT.

Quand Conception de la machine signalé sur le renforcement de la résilience dans les vulnérabilités du firmware plus tôt cette année, le article (présentant les informations de Sistany) a signalé au moins une faille logicielle qui a laissé la sécurité du réseau d’une entreprise de surveillance largement ouverte au vol de milliers de mots de passe et de noms d’utilisateur Wi-Fi. La violation concernait les communications vidéo de la sonnette de Ring et l’application associée, qui envoyait les informations de connexion des utilisateurs à la sonnette à l’aide d’un réseau Wi-Fi non crypté pendant la configuration et offrait aux pirates potentiels une fenêtre d’attaque.

Un autre cas notable a fait surface à la fin du mois de mai, lorsqu’un étudiant en informatique de Florida Tech, Blake Janes, a reçu une prime de bogue de 3 133,70 $ de Google pour avoir identifié le défaut de sa série d’appareils Net. Janes a averti Nest, Ring (appartenant à Amazon), Merkury, Blink, Samsung et plusieurs autres fabricants de Google que le mécanisme de suppression des comptes d’utilisateurs sur leurs systèmes de caméras ne fonctionne pas comme prévu.

Blake Janes, étudiant en informatique, Florida Tech.Présenté dans le papier, « Never Ending Story: Authentication and Access Control Design Failles in Shared IoT Devices », «  Janes et son co-auteurs a montré aux fournisseurs comment leurs systèmes de caméras permettaient à un compte partagé qui aurait pu être mis hors ligne de rester activé avec un accès continu au flux vidéo. Le problème provient de l’idée que les mêmes fonctionnalités qui permettent la commodité peuvent surveiller de manière malveillante les données auditives, visuelles et de localisation entre les utilisateurs partagés. L’opportunité de fermer une porte de garage à distance ou d’enregistrer des enfants pendant un voyage d’affaires est contrecarrée lorsque la technologie est utilisée abusivement par un conjoint mécontent qui traque un partenaire intime par voie électronique.

L’équipe de recherche de Florida Tech a noté que la violation se produit en grande partie parce que les décisions concernant l’octroi de l’accès se font dans le cloud et non localement sur l’appareil photo ou les smartphones concernés. Sur les 19 appareils IoT que l’équipe de Florida Tech a évalués par rapport à une attaque adverse liée à l’interface utilisateur, 16 ont souffert de failles qui permettent un accès non autorisé après modification ou révocation des informations d’identification. En d’autres termes, les acteurs malveillants potentiels pourraient conserver indéfiniment l’accès aux systèmes de caméras, enregistrant secrètement de l’audio et de la vidéo dans une invasion substantielle de la vie privée ou des cas de harcèlement électronique.

L’approche pour autoriser l’accès basé sur le cloud est préférée par les fabricants car elle permet aux caméras de transmettre des données de manière à ce que les caméras n’aient pas besoin de se connecter directement à chaque smartphone. Mais ce qui peut sembler une violation innocente peut se transformer en une invasion légitime de la vie privée lorsque de mauvais acteurs ont une journée de terrain à pirater les dispositifs de sécurité d’une entreprise.

Dans les Q&R suivantes, Conception de la machine une fois de plus, Sistany s’est tourné vers ce que les violations de contrôle d’accès signifient pour les fournisseurs et ce qu’il faudrait pour résoudre les problèmes sous-jacents.

Conception de la machine: Pensez-vous que le faille de sécurité de la caméra vidéo a été oubliée ou manquée?

Bahman Sistany: Oui. Ce scénario spécifique montre que la propagation des changements d’état dus à la révocation ou aux modifications des listes de contrôle d’accès n’a pas été correctement effectuée dans certains des systèmes de caméras IOT testés. Cependant, il est important de noter la difficulté de tester tous les scénarios: l’interaction de l’ensemble des API avec plusieurs services backend, de plusieurs manières, pourrait créer un grand nombre de permutations qui doivent être testées ou formellement motivées (le cas échéant). Cela met en évidence l’importance de la recherche comme celle effectuée par l’équipe de Florida Tech.

MARYLAND: Que pourraient faire les fournisseurs pour résoudre le problème?

Sistany: le papier recommande qu’une application compagnon soit utilisée pour afficher le comportement anormal de l’appareil. Ils recommandent en outre l’utilisation d’algorithmes d’analyse des informations d’identification pour détecter les anomalies, en particulier lors du partage des informations d’identification. Bien que ces recommandations puissent aider à atténuer la menace, une meilleure conception par les fournisseurs et également de meilleurs tests de différents scénarios sont plus importants.

La principale faille qui est exploitée dans l’attaque est liée à la divergence des serveurs API IoT et des serveurs de contenu. La révocation et d’autres modifications du contrôle d’accès, initiées par un utilisateur via l’application compagnon, se reflètent dans les serveurs API, mais il y a un décalage jusqu’à ce que le serveur de contenu soit synchronisé. Cela rappelle l’ancienne classe de bogues TOCTOU (temps de changement, vulnérabilité de temps d’utilisation) provoquée par une condition de concurrence critique, impliquant le changement de l’état d’une partie d’un système (serveur API) et l’utilisation de les résultats de ce changement (sur le serveur de contenu).

Une meilleure conception réduirait le décalage entre les deux services de manière à ce que la modification du contrôle d’accès se reflète dans le serveur de contenu presque immédiatement (ou au moins dans une fenêtre plus courte).

MARYLAND: Le document note que les fabricants ont conçu leurs systèmes afin que les utilisateurs n’aient pas à répondre de manière répétée aux demandes d’accès. Comment peuvent-ils remédier à cette vulnérabilité?

Sistany: Il y a bien sûr un besoin d’équilibre entre la mise en œuvre de bonnes pratiques de sécurité d’une part et la grande convivialité et réactivité d’autre part. Les demandes d’accès fréquentes et / ou d’autres questions aux utilisateurs qui, parfois, ne savent même pas la bonne réponse deviendront ennuyeuses et entraîneront une sécurité moindre.

Toutefois, dans ce scénario, il n’est pas nécessaire de demandes d’accès fréquentes aux utilisateurs. Une interface utilisateur claire et la mise en œuvre d’un système sans décalage dans lequel la révocation et d’autres changements de contrôle d’accès (par exemple, limiter l’accès devrait être traité comme une priorité plus élevée que donner l’accès) sont traités comme une priorité élevée afin qu’ils ne nécessiterait pas la participation fréquente des utilisateurs.

MARYLAND: Les cyberattaquants pourraient-ils mener des actes malveillants en ayant accès aux comptes d’utilisateurs actifs?

Sistany: Le modèle d’attaque que les chercheurs utilisent est celui où les capacités de l’attaquant sont celles d’un utilisateur naïf, le soi-disant adversaire lié à l’interface utilisateur, où l’attaquant utilise l’interface utilisateur sans avoir à installer quoi que ce soit d’autre. En outre, l’hypothèse du modèle est que l’attaquant était un utilisateur légitime à un moment donné (par exemple, une ancienne petite amie) mais dont l’accès est maintenant révoqué ou réduit, de sorte qu’un scénario général de cyberattaque ne serait pas applicable ici.

MARYLAND: Quel type de cryptage doit être utilisé pour empêcher les mauvais acteurs de pirater le système?

Sistany: Les défauts mis en évidence ne sont pas nécessairement causés par un chiffrement faible mais plutôt par un chiffrement détendu (comme dans aucun chiffrement) et d’autres contrôles d’accès. Par exemple, selon l’article, Xiaomi et Nest n’a pas réussi à garantir la sécurité et la confidentialité des flux de caméras en stockant le contenu décrypté dans un cache. Les services de chiffrement fournis par les frameworks cloud gérés doivent simplement être utilisés conformément aux meilleures pratiques et non détendus.

MARYLAND: Comment les entreprises peuvent-elles assurer la sécurité de leurs systèmes?

Sistany: Il s’agit d’un processus continu et les fournisseurs doivent être vigilants contre les vulnérabilités potentielles et concevoir leurs systèmes en fonction des dernières recherches en matière de sécurité et de confidentialité et des meilleures pratiques. Cependant, l’utilisation des systèmes AI et ML pourrait aider ces fournisseurs à déployer des systèmes adaptatifs qui pourraient changer de comportement à mesure qu’ils apprennent comment des utilisateurs spécifiques utilisent le système et qu’ils apprennent à faire la différence entre une utilisation légitime et illégitime.

MARYLAND: Comment les utilisateurs peuvent-ils garantir la confidentialité et une utilisation sûre de leur côté?

Sistany: En ce qui concerne le scénario actuel, un utilisateur peut facilement auditer son système et voir combien de temps la révocation ou d’autres changements prennent pour se matérialiser. Pour ce faire, vous pouvez soit créer un autre compte d’utilisateur et tester pour voir combien de temps une révocation prendrait pour se matérialiser, soit partager des informations d’identification sur plusieurs appareils et [testing] combien de temps une mise à jour des informations d’identification prend pour se propager.

En fin de compte, les fournisseurs qui ont effectué leurs propres audits indépendants et réputés seront certainement plus fiables par les utilisateurs qui souhaitent garantir leur confidentialité et leur sécurité.

Articles similaires

Commencez à saisir votre recherche ci-dessus et pressez Entrée pour rechercher. ESC pour annuler.

Retour en haut