Le spécialiste de la sécurité Paul Marrapese a découvert deux vulnérabilités de sécurité, CVE-2019-11219 et CVE-2019-11220, affectant plus de deux millions d’appareils identifiés sur internet et distribués par HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight, et HVCAM.
Voici une carte de leur distribution dans le monde:
Ce sont des caméras de surveillance, des caméras pour bébés, et des sonneries « intelligentes », qui utilisent un composant nommé iLnkP2P, présent dans des appareils de centaines de marques.
Ces appareils sont compatibles avec du « pair à pair », ou « P2P », ce qui permet à leurs utilisateurs de s’y connecter dès qu’ils sont en ligne.
Malheureusement, les pirates peuvent exploiter les vulnérabilités de sécurité pour les détecter et y accéder, sans que son propriétaire ne s’en aperçoive.
Il est recommandé de remplacer les appareils affectés par des appareils plus sûrs, de vendeurs plus connus.
Si ce n’est pas possible, il faut bloquer le port UDP 32100 des routeurs/de la box afin qu’on ne puisse plus accéder aux appareils de l’extérieur.
On peut savoir si l’on est affecté, en regardant l’UID de l’appareil, souvent imprimé sur une étiquette sur l’appareil.
Un UID ressemble à FFFF-123456-ABCDE. Dans cet exemple, FFFF est le préfixe.
Si le préfixe est dans la table suivante, l’appareil est vulnérable:
AID | AJT | AVA | BSIP | CAM |
CPTCAM | CTW | DFT | DFZ | DYNE |
EEEE | ELSA | ESN | ESS | EST |
FFFF | GCMN | GGGG | GKW | HDT |
HHHH | HRXJ | HVC | HWAA | HZD |
HZDA | HZDB | HZDC | HZDN | HZDX |
HZDY | HZDZ | IIII | IPC | ISRP |
JWEV | KSC | MCI | MCIHD | MDI |
MDIHD | MEG | MEYE | MGA | MGW |
MIC | MICHD | MMMM | MSE | MSEHD |
MSI | MSIHD | MTE | MTEHD | MUI |
MUIHD | NIP | NIPHD | NPC | NTP |
OBJ | OPCS | OPMS | PAR | PARC |
PCS | PHP | PIO | PIPCAM | PIX |
PNP | PSD | PTP | QHSV | ROSS |
SID | SIP | SXH | TIO | TSD |
UID | VIO | VSTD | VSTF | WBT |
WBTHD | WNS | WNSC | WXH | WXO |
XDBL | XTST | ZES | ZLD | ZSKJ |
ZZZZ |
Selon les conventions de la profession, Marrapese a informé les vendeurs affectés, en toute confidentialité, à plusieurs reprises, à partir du 15 janvier 2019, pour les informer de ses découvertes. Sans réponse.
Le 4 février, le développeur de iLnkP2P est identifié (Shenzhen Yunni Technology Company, Inc.) et informé. Aucune réponse.
L’auteur a donc finalement décidé de divulguer ces deux vulnérabilités, après les 3 mois de délai standards, sur le site https://hacked.camera/.