Selon Zmodo, leurs appareils et applications sont protégés par un cryptage AES 256 bits et TLS (Transport Layer Security), et vos vidéos ne sont accessibles qu’avec votre nom d’utilisateur et votre mot de passe. Mais cela signifie-t-il que les caméras Zmodo sont sûres ?
La question de savoir si Zmodo est sûr va au-delà de la marque Zmodo et imprègne tous les produits IoT. En fin de compte, la réponse est – probablement pas. Certaines découvertes troublantes, ainsi que des différences dans les applications, méritent plus d’attention.
Nous sommes en 2021 et le nombre de produits IoT se chiffre en milliards. La question évidente est de savoir si un habitant du sous-sol de Sticks Village, dans l’Utah, sait quand votre bébé se réveille et si Zmodo fait partie du problème.
Une étude Dark Cube de Zmodo Security
Dark Cubed est une société de cybersécurité fondée en 2015. Leur service principal est la sécurité Internet pour les clients potentiels. En 2019, ils ont publié un L’état de la sécurité IoT, Dont Zmodo en fait partie.
Alors que Zmodo vante le cryptage 256 bits, les recherches de Dark Cubed démontrent une attaque dite « man-in-the-middle », par laquelle les images sortantes d’un appareil Zmodo vers le cloud peuvent être interceptées et visualisées, en contournant complètement le cryptage.
De plus, Dark Cubed affirme que toute personne disposant des bons outils peut facilement tout intercepter depuis les appareils Zmodo et les applications Android.
Le téléchargement de l’application sur Google Play vous oblige à accorder 29 autorisations, dont 12 sont dangereuses. Ces autorisations permettent :
- partage de position
- lire des SMS
- Désactiver la protection du clavier
- lire les contacts
- accéder à votre système de fichiers
- Contrôle Bluetooth
- lire votre stockage externe
- Écrire les paramètres système
Xiongmai et marque blanche
Xiongmai est une entreprise chinoise qui fabrique des équipements de vidéosurveillance. L’entreprise a une histoire sordide d’atteintes à la sécurité affectant des millions de personnes. En septembre 2016, le logiciel malveillant Mirai a été utilisé pour atteindre plusieurs cibles avec une attaque de « déni de service destructeur ».
Il a été déterminé plus tard que les produits de blé d’ours constituaient la plupart des produits infectés par le malais. Xiongmai s’engage dans ce que l’on appelle «l’étiquetage blanc», où les produits fabriqués par Xiongmai sont reconditionnés et réétiquetés par la société qui a acheté le produit. Zmodo est l’une de ces entreprises qui vend des produits Xiongmai en marque blanche.
Bien que Xiongmai ait menacé de poursuivre les parties en justice, joué le jeu du blâme et finalement prétendu avoir corrigé les failles de sécurité, il n’y a toujours aucune preuve qu’il l’ait fait.
En 2018, la tentative de SEC Consult de résoudre les vulnérabilités de sécurité avec Xiongmai – sans grand succès – a également publié une ventilation concise du problème Xiongmai et une liste de tous les produits connus qui utilisent des étiquettes blanches sur les produits Xiongmai. Zmodo est inscrit sur la liste du cabinet de conseil SEC.
Zmodo envoie-t-il du stockage cloud en Chine ?
Le 8 janvier 2017, Fortego a effectué une évaluation de la sécurité de la caméra Zmodo. Ils ont déterminé que cinq ports de l’appareil Zmodo étaient accessibles par erreur.
La même évaluation a également déterminé que l’application Zmodo envoyait du trafic d’images à l’adresse IP 120.132.176.173 située à Pékin, en Chine. Maintenant, c’est à vous de décider si vous faites confiance à vos données pour être stockées en toute sécurité en Chine. Cependant, ce n’est pas l’itinéraire recommandé pour les images de sécurité de votre domicile.
Plus tard, une évaluation de la sécurité qui s’est poursuivie en 2019 est arrivée à la même conclusion que l’étude DarkCube de 2019. Entre l’appareil photo et le stockage en nuage, les images Zmodo sont extrêmement vulnérables lors de l’envoi de photos ou de vidéos.
Zmodo a une mauvaise histoire avec des problèmes de sécurité
Le passé ne justifie pas définitivement le présent, mais il est pertinent. Étant donné que l’histoire a tendance à être cyclique et que les entreprises modernes évitent la confidentialité pour le profit, il convient de noter la position de Zmodo.
Zmodo a été répertorié comme vulnérable aux pirates en 2013, 2016 et 2018. Il convient également de noter que les produits Zmodo étaient toujours affectés par le malware Mirai en 2016, malgré les assurances d’un porte-parole de Zmodo en 2013.
Malheureusement, contrairement aux webcams pour ordinateur portable ou de bureau, quelqu’un qui pirate une caméra Zmodo n’a pas besoin d’être prudent ou rusé. Étant donné que personne ne peut voir le logiciel Linux s’exécuter sur l’appareil Zmodo, il n’y a aucun signe de compromis.
de toute façon
Bien que Zmodo ne soit pas le seul produit présentant des failles de sécurité inquiétantes, leurs produits faisaient et ont toujours fait partie du problème.
Les caméras, l’audio et les autres appareils d’enregistrement sont partout. Les coins de rue, les ruelles, les feux de circulation, les commerces et les voitures en sont remplis. En ce moment, nous importons ces appareils dans nos maisons.
Zmodo a une histoire malheureuse de graves problèmes de sécurité et continue de mettre en marque blanche ses produits fabriqués par Xiongmai, un collaborateur bien connu dans la fabrication de produits vulnérables. De nombreuses études menées par des organisations bien connues continuent de signaler des problèmes avec Zmodo et Xiongmai. La recherche ne porte pas seulement sur les produits, mais aussi sur les applications connexes, en particulier sur les appareils Android.
Sans une étude concluante et actuelle de 2021, il nous reste ce que nous savons, et ce que nous savons, c’est que Zmodo n’offre pas un produit hautement sûr et fiable.