PTP a partagé ses trouvailles sur ce cas, et il en ressort que les sex-toys connectés de SVAKOM, les Svakom Siime Eye plus précisément, seraient plutôt des portes ouvertes sur l’intimité de ses clients. Ces sex-toys sont en effet dotés de caméras et de points d’accès (AP) auxquels PTP a pu se connecter plus ou moins aisément.
La première découverte frappante de PTP a été de constater que le constructeur n’aurait pas le contrôle total de l’application destinée à être utilisée en conjonction avec le vibromasseur. Un coup d’œil à l’ossature de l’application présentée ci-dessous a permis à l’équipe PTP d’arriver à cette conclusion.
La présence du fichier source com.Skyviper suffisait déjà à établir le lien avec le constructeur de drones Skyviper qui aurait dégagé sa responsabilité, la renvoyant plutôt à des développeurs qui auraient travaillé pour les deux entreprises.
Une investigation plus poussée, cette fois dans le fichier source com.SiimeEye a permis à PTP de mettre à nu une autre faille importante. Dans un scénario d’utilisation normale, un utilisateur se servirait d’une application Android ou iOS pour se connecter au point d’accès du vibromasseur. Il entrerait alors les identifiants SSID : Siime Eye et mot de passe par défaut : 88888888. Seulement, un autre moyen d’accès aurait été réservé dans le fichier source com.SiimeEye.
La lecture du code suggère qu’un tiers, via une interface web, pourrait se servir de la combinaison adresse IP:numéro de port 192.168.1.1:80 pour accéder à l’AP du vibromasseur, ce, en entrant les identifiants admin:[blank]. PTP affirme avoir procédé ainsi et réussi à accéder à l’AP. Il y a même plus grave d’après PTP, c’est que l'utilisateur X, n'ayant pas connaissance de ce mode d'accès alternatif ne pourra s'en prémunir. Comble de l’histoire, celui qui a accès à l’AP, dispose de toutes les ressources accessibles via l’application. Imaginez donc le type de média entre les mains d’un tiers, suivez notre regard.
Du fait de l’intégration au vibromasseur d’une fonctionnalité point d’accès, l’équipe PTP a réussi d’autres prouesses comme celle de géolocaliser des possesseurs de cet appareil. Elle a également révélé d’autres fonctionnalités cachées comme la possibilité pour un tiers d’avoir accès à la caméra de l’appareil via Skype.
Des constats qui, comme l’a fait l’équipe PTP, amènent à se poser des questions fondamentales :
- est-ce vraiment utile de doter un vibromasseur d’un point d’accès ?
- le vibromasseur en question devrait-il être muni d’une caméra ?
- est-ce sérieux pour des constructeurs d’intégrer des fonctionnalités d’accès à la caméra via Skype ?
Voilà une liste d’interrogations qui pourraient bien jaillir sur un autre scandale comme ça avait été le cas dans l’affaire WeVibe. Le constructeur avait été condamné pour collecte des données des utilisateurs de son sex-toy. PTP affirme avoir contacté SVAKOM qui jusqu'ici n'a pas réagi.
Sources : PTP
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question
Après les Botnets, les ThingBots ? Proofpoint découvre une cyberattaque basée sur l'Internet des objets