IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les hackers peuvent vous espionner juste avec un aspirateur
Des chercheurs dévoilent une attaque qui permet d'espionner à l'intérieur des maisons, grâce aux capteurs LiDAR des aspirateurs robots

Le , par Nancy Rey

99PARTAGES

6  0 
Une équipe d'universitaires de l'Université nationale de Singapour et de l'Université du Maryland a publié un document de recherche intitulé "Spying with your robot vacuum cleaner : eavesdropping via lidar sensors" (Espionner avec l'aspirateur de votre robot : écouter via les capteurs LiDAR). Sous la supervision du professeur Jun Han, Sriram Sami a pris la tête de cette recherche avec l'aide de Yimin Dai, Sean Rui Xiang Tan et Nirupam Roy. Le piratage, que les chercheurs ont appelé LidarPhone, est ce qu'on appelle une attaque de canal secondaire. C'est lorsque, plutôt que d'exploiter des faiblesses ou des vulnérabilités, les pirates exploitent les forces mises en œuvre, mais pour une raison autre que celle à laquelle on pourrait raisonnablement s'attendre. Dans ce cas, ils utilisent les capteurs LiDAR d'un aspirateur robotique "intelligent", dont la fonction est d'aider l'appareil à naviguer et à cartographier son environnement, de faire office de micro et d'enregistrer secrètement les conversations.

Les aspirateurs, qui utilisent des capteurs intelligents pour fonctionner de manière autonome, ont gagné en popularité au cours des dernières années. L'attaque "LidarPhone" vise en particulier les aspirateurs équipés de capteurs LiDAR, comme le nom l'indique. LiDAR, qui signifie Light Detection and Ranging (détection et télémétrie par la lumière), est une méthode de télédétection qui utilise la lumière sous la forme d'un laser pulsé pour mesurer les distances par rapport à des objets proches. Cette technologie aide les aspirateurs à contourner les obstacles sur le sol pendant qu'ils nettoient. La bonne nouvelle, c'est que l'attaque est complexe : il faudrait que les attaquants aient déjà compromis l'appareil lui-même (dans leur attaque, les chercheurs ont utilisé une attaque découverte précédemment sur les aspirateurs). En outre, les attaquants doivent être sur le réseau local de la victime pour lancer l'attaque.

« Nous développons un système pour réorienter le capteur LiDAR afin de détecter les signaux acoustiques dans l'environnement, de récolter à distance les données du cloud et de traiter le signal brut pour en extraire des informations. Nous appelons ce système d'écoute LidarPhone », a déclaré l'équipe de chercheurs.


L'idée principale de l'attaque est d'accéder à distance aux relevés LiDAR de l'aspirateur et d'analyser les signaux sonores recueillis. Cela permettrait à un attaquant d'écouter des conversations privées, ont déclaré les chercheurs ; ce qui pourrait révéler les données de leur carte de crédit ou fournir des informations potentiellement incriminantes qui pourraient être utilisées à des fins de chantage.

Les chercheurs ont pu utiliser le LidarPhone sur un robot aspirateur Xiaomi Roborock comme preuve de concept. Tout d'abord, ils ont procédé à la rétro-ingénierie du micrologiciel du robot basé sur ARM Cortex-M. Ensuite, ils ont exploité un problème dans la pile logicielle Dustcloud, qui est un serveur proxy ou un serveur d'extrémité pour les appareils, afin d'obtenir un accès root au système. Il s'agit d'une attaque basée sur des recherches antérieures publiées lors de DEFCON 26 en 2018. « Le robot est généralement connecté à l'écosystème du cloud Xiaomi pour ses opérations standard et l'échange de données. Nous passons outre cette interface avec la pile logicielle Valetudo sur le dispositif racine et contrôlons le robot sur un réseau local », ont déclaré les chercheurs.

Ensuite, les chercheurs ont recueilli des chiffres parlés, ainsi que la musique jouée par un haut-parleur d'ordinateur et une barre de son de télévision, totalisant plus de 30 000 énoncés sur 19 heures d'enregistrement audio. Selon eux, le LidarPhone atteint respectivement une précision moyenne d'environ 91 % et 90 % pour les classifications des chiffres et de la musique. Par exemple, les chercheurs ont pu détecter différents sons dans la maison allant d'un tapis en tissu à la poubelle, en passant par diverses séquences de musique d'introduction pour des chaînes d'information populaires à la télévision comme FOX, CNN et PBS. Ils pouvaient même deviner le sexe de ceux qui parlaient.


Dans le même temps, l'attaque a connu plusieurs revers. D'une part, plusieurs conditions dans le ménage pourraient rendre une attaque moins efficace. Par exemple, la distance à laquelle se trouve l'aspirateur et le volume des différents bruits ont un impact sur l'efficacité globale. Les niveaux de bruit de fond et les conditions d'éclairage ont également un impact sur l'attaque. Les chercheurs ont déclaré que l'attaque peut être atténuée en réduisant le rapport signal/bruit du signal LiDAR : « Cela peut être possible si le robot aspirateur LiDAR est fabriqué avec un verrouillage matériel, de telle sorte que ses lasers ne peuvent pas être transmis en dessous d'une certaine vitesse de rotation, sans possibilité de passer outre cette caractéristique dans le logiciel », ont-ils déclaré.

Quoi qu'il en soit, cette attaque nous rappelle que la prolifération des dispositifs de détection intelligents dans nos foyers ouvre de nombreuses possibilités d'attaques acoustiques sur les canaux latéraux des conversations privées. « Alors que nous étudions le LiDAR sur les aspirateurs robots comme un cas pratique, nos conclusions peuvent être étendues à de nombreux autres capteurs de lumière actifs, y compris les capteurs de temps de vol des smartphones », ont déclaré les chercheurs.

C'est tout de même inquiétant quand on sait que la plupart des aspirateurs ne sont pas équipés de microphones et que les mêmes techniques pourraient, en théorie, être appliquées à tout appareil équipé d'un capteur LiDAR. L'iPhone 12 Pro Max, peut-être, ou une voiture qui roule toute seule. Les caméras de ces dispositifs utilisent des rayons infrarouges qui rebondissent sur les objets et retournent au matériel. Le temps que cette lumière prend pour quitter l'appareil et y revenir (le temps de vol) permet à la caméra de détecter la profondeur, créant ainsi une "carte" 3D de l'espace.

Source : Document de recherche

Et vous ?

Utilisez-vous des objets connectés à la maison ? Si oui, à quelles fins ? Que pensez-vous des objets connectés en général ?

Quel est votre avis sur cette nouvelle forme de menaces dans les foyers ?

Quelle solution préconisez-vous pour faire face à ce problème qui prend de l'ampleur ?

Voir aussi :

Les objets connectés sont de plus en plus utilisés pour le harcèlement et l'intrusion dans les maisons, rapporte le NYT en s'appuyant sur des rapports

IdO : les Français sont peu convaincus par les maisons connectées, une enquête fait l'état des lieux des objets connectés dans l'habitat

L'internet des objets pourrait rapidement devenir l'internet des menaces prévient le fondateur et PDG Kaspersky

IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino et extirper 10 Go de data

Une porte dérobée, non documentée qui prend secrètement des clichés, trouvée dans une montre intelligente pour enfants : Le X4, fabriqué et développé conjointement en Chine, suscite des inquiétudes

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Christian_B
Membre confirmé https://www.developpez.com
Le 14/12/2020 à 15:33
Les hackers peuvent vous espionner juste avec un aspirateur
Ça confirme les commentaires de l'article sur le plantage d'Amazon. Faut être maso pour multiplier chez soi les appareils qui peuvent vous espionner, se planter pour des raisons absurdes ou devenir erratiques. A quand le meurtre par aspirateur depuis l'autre bout du monde ?
1  0