Sphero BB-8 : un hack pour le faire passer du côté obscur ?

BB-8, le nouveau droïde de Star Wars : Le Réveil de la Force, a suscité beaucoup d’intérêt chez les fans de la saga, et son adaptation en jouet par le fabricant Sphero n’est donc pas passée inaperçue. Très populaire, le jouet a donc également attiré l’attention de hackers, qui pensent pouvoir détourner l’application utilisant le robot, et ainsi le faire passer du côté obscur.

Le BB-8 de Sphero est en effet contrôlé grâce à une application pour iOS et Android, qui fait ainsi office de télécommande et communique par Bluetooth avec le robot. La société britannique Pen Test Partners, spécialisée en sécurité, s’est penchée sur la version Android de cette application, et a fait une découverte intéressante : les mises à jour en ligne de l’application s’effectuent en utilisant le protocole classique HTTP, mais n’utilisent pas d’identification SSL, qui permettent de s’assurer de l’authenticité d’un serveur de données. Concrètement, cela signifie que quelques lignes de code suffisent à tromper l’application, et à la forcer à installer une fausse mise à jour.

De l’aveu de Pen Test Partners, ce hack n’est pas particulièrement dangereux dans le cas de BB-8 : le robot ne dispose pas de capteurs spécifiques permettant d’espionner l’utilisateur, ni le drone ni l’application ne stockent de données sensibles, tout au plus, cela permettrait de découvrir des fonctionnalités cachées dans le robot. Néanmoins, cela permet également d’étudier le firmware du robot, et ainsi de créer sa propre application pour en prendre le contrôle, donnant aux plus bricoleurs de quoi s’amuser un peu. Pen Test Partners indique néanmoins que cette faille serait commune à près de 15 % des applications présentes sur Android, certaines pouvant présenter un risque plus important. L’entreprise a prévenu Sphero, qui a pris l’information très au sérieux et travaille sur un correctif de son application afin d’utiliser un système d’authentification par SSL.

À lire : 
[Test] BB-8 de Sphero : faut-il craquer pour le robot de Star Wars ?

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
1 commentaire
    Votre commentaire
  • oliewan
    L'appli est aussi disponible pour Windows 10 (mobile). Quitte à citer les plateformes sous lesquelles l'appli existe, autant le faire bien et inclure l'OS de Microsoft...
    D'ailleurs la faille y est aussi présente ?
    0