Arrêtez d’utiliser votre contrôleur de porte de garage intelligent Nexx
Nexx a ignoré les vulnérabilités critiques de ses produits de maison intelligente.
Il y a quelques années à peine, Nexx figurait parmi les marques de contrôleurs de garage intelligents les plus populaires. Mais les choses ont changé. Nexx ne reçoit pas beaucoup d’attention ces jours-ci. Et en raison des vulnérabilités récemment découvertes, les clients restants doivent débrancher leurs appareils Nexx et envisager une marque différente.
Le chercheur en sécurité Sam Sabetan a découvert « une série de vulnérabilités critiques » qui affectent tous les produits de maison intelligente Nexx (ouvre-portes de garage, prises intelligentes, tout). Ces vulnérabilités, qui sont déjà attribuées à des CVE, sont le résultat d’une surveillance majeure de la sécurité dans l’implémentation MQTT de Nexx ; chaque appareil Nexx utilise le même mot de passe pour se connecter aux serveurs cloud de Nexx.
Pire encore, ce mot de passe est disponible gratuitement dans l’API de l’application Nexx (et il a été publié en ligne). N’importe qui peut utiliser ce mot de passe pour prendre le contrôle à distance d’un produit intelligent Nexx. Donc, si votre porte de garage est contrôlée par Nexx, ne soyez pas surpris si elle commence à s’ouvrir et à se fermer au hasard.
Si un pirate exploite au maximum la vulnérabilité MQTT de Nexx, il peut récupérer les informations personnelles de tous les titulaires de compte Nexx. Ces données personnelles comprennent les identifiants des appareils, les prénoms et les adresses e-mail. Ainsi, il est très facile pour les pirates de cibler des individus spécifiques.
« Nexx n’a répondu à aucune correspondance de moi-même, du DHS (CISA et US-CERT) ou de VICE Media Group. J’ai vérifié de manière indépendante que Nexx a délibérément ignoré toutes nos tentatives d’assistance à la correction et a laissé ces failles critiques continuer à affecter leurs clients. – Sam Sabetan
Nexx aurait dû reconnaître cette vulnérabilité par lui-même. Mais plus important encore, il aurait dû répondre aux e-mails de Sabetan, Homeland Security et VICE. La société a intentionnellement évité la correspondance et, pour cette raison, tous les clients Nexx restants devraient envisager de passer à une nouvelle marque. (Pour ce que ça vaut, la présence de Nexx sur les réseaux sociaux est pratiquement inexistante depuis 2020, et Sabetan a constaté que l’entreprise ne compte qu’environ 20 000 utilisateurs actifs. Nexx ne semble pas en très bonne santé.)
Même si ces problèmes sont résolus, Avis Geek ne peut pas recommander une entreprise de maison intelligente qui néglige intentionnellement la confidentialité, la sécurité et la sûreté de ses clients. Nous avons révisé toute la couverture précédente de Nexx (dont il y a très peu) pour répondre à l’histoire d’aujourd’hui.
Nexx n’a pas publié de réponse à cette histoire. Nous avons contacté l’entreprise pour un commentaire. Vous pouvez lire le rapport de sécurité complet de Sam Sabetan sur Medium.
Source : Sam Sabetan