Selon des chercheurs en sécurité, un exploit enchaîné du jour zéro pourrait potentiellement exposer toutes les données des utilisateurs dans le backend de l’application mobile associée à une balance de poids intelligente populaire.

Bogdan Tiron, associé directeur de la société britannique d’infosec Fortbridge, a découvert cinq vulnérabilités dans l’application Yunmai Smart Scale, dont trois pourraient être combinées pour prendre en charge les comptes et accéder aux détails de l’utilisateur tels que le nom, le sexe, l’âge, la taille, la relation familiale, et photo de profil.

Au 12 mai, le fournisseur de produits IoT basé en Chine, Zhuhai Yunmai Technology, avait apparemment mis en œuvre un correctif pour un seul des défauts – et même alors, Tiron a déclaré qu’il avait réussi à contourner le correctif.

Les failles ont été découvertes lors d’un test de pénétration des applications Yunmai Android et iOS.

Faire pencher la balance

La balance intelligente Yunmai et l’application permettent aux utilisateurs d’enregistrer et de suivre leur poids, leur indice de masse corporelle (IMC), leur pourcentage de graisse corporelle, leur graisse viscérale et divers autres indicateurs de santé.

L’application Android à elle seule a été téléchargée plus de 500 000 fois.

L’exploit enchaîné consiste d’abord à abuser d’un Identifiant d’utilisateur faille d’énumération par force brute Identifiant d’utilisateurs dans l’uid parent qui fuit (‘puId‘) valeurs de compte. puId Les valeurs sont ensuite utilisées pour ajouter des comptes enfants (« membre de la famille ») aux comptes parents enregistrés, rendus possibles par l’échec de l’API à effectuer des vérifications d’autorisation.

Enfin, lors de la création du compte famille le correspondant ‘jeton d’accès‘ et ‘refreshToken‘ sont divulgués et pourraient être exploités par des attaquants « pour usurper l’identité des comptes » des membres de la famille « , basculer entre les comptes des membres de la famille et interroger toutes leurs données », selon un article de blog écrit par Tiron.

Une quatrième faille, quant à elle, signifie que les attaquants pourraient prendre le contrôle de n’importe quel compte d’utilisateur car la fonction Android de « réinitialisation du mot de passe » ne parvient pas à invalider correctement les jetons de « mot de passe oublié » générés précédemment lorsqu’un utilisateur demande un nouveau jeton de « mot de passe oublié » (la fonction n’a pas fonctionné du tout sur l’application iOS).

« En conséquence, un attaquant peut demander que plusieurs jetons soient envoyés à l’e-mail de la victime, afin d’augmenter ses chances de deviner ce code et de changer le mot de passe de la victime », a déclaré Tiron.

La cinquième et dernière faille a vu le chercheur contourner une limite de 16 membres de la famille par compte principal, car la limite est appliquée côté client mais pas côté serveur.

Correctif partiel

Tiron a révélé les failles en septembre et octobre 2021. L’équipe d’assistance de Yunmai a répondu à la divulgation initiale, mais l’équipe de développement n’a toujours pas répondu, Fortbridge leur ayant envoyé un e-mail directement le 18 mai.

Tiron a publié ses conclusions le 30 mai.

« Au meilleur de ma connaissance, aucun des résultats n’a été corrigé », a déclaré le chercheur. « La dernière fois que j’ai vérifié le 12 mai, toutes les découvertes n’étaient toujours pas corrigées. »

Le chercheur a déclaré qu’il avait réussi à contourner le seul correctif observé, pour le problème du « mot de passe oublié ».

« Malheureusement, les utilisateurs de Yunmai sont exposés à ces problèmes et ils ne peuvent rien faire pour se protéger au niveau de l’application, car ce sont tous des problèmes avec l’API backend et seuls les développeurs de Yunmai peuvent les résoudre », a poursuivi Tiron.

« Les appareils IoT ont acquis une mauvaise réputation en termes de sécurité au cours des deux dernières années et il est triste de voir que les choses ne se sont pas améliorées. Nous nous serions attendus à ce que Yunmai fasse au moins un test de stylo avant de sortir ce produit ou au moins qu’ils auraient été plus réactifs lorsque nous les avons contactés.

Nous avons invité Zhuhai Yunmai Technology à commenter ces résultats et mettrons à jour l’article si et quand ils répondent.

Comme indiqué précédemment par , les recherches de Fortbridge ont inclus l’année dernière la découverte de graves vulnérabilités d’exécution de code à distance (RCE) dans les systèmes de gestion de contenu open source populaires (CMS) Concrete et Joomla, ainsi que dans la plate-forme d’hébergement Web cPanel & WHM.