Une porte dérobée découverte dans un lit

 (trufflesecurity.com)
1 points par GN⁺ 2025-02-22 | 1 commentaires | Partager sur WhatsApp

Retirer Jeff Bezos de mon lit

  • Qu’est-ce que Eight Sleep ?

    • Partage d’une expérience de découverte de clés AWS dans un appareil IoT.
    • Une porte dérobée a été trouvée dans un lit, ce qui illustre l’une des raisons pour lesquelles les experts en sécurité se lassent des appareils inutiles connectés à Internet.

  • Fonctionnalités et problèmes d’Eight Sleep

    • Il s’agit d’un lit offrant une fonction de régulation de la température.
    • Il ne fonctionne pas lorsque la connexion Internet est coupée, et ses fonctions de base nécessitent un abonnement supplémentaire.
    • Il ne peut être contrôlé que via une application mobile.
    • Après analyse du firmware, des problèmes de sécurité ont été découverts, ce qui a conduit à chercher une solution plus simple.

  • Le problème de la porte dérobée

    • Il a été découvert que les ingénieurs d’Eight Sleep pouvaient se connecter en SSH à tous les lits de leurs clients et exécuter du code arbitraire.
    • Il s’agit d’un grave problème de sécurité susceptible de porter atteinte à la vie privée des clients.

  • Les risques liés aux clés AWS

    • Les clés AWS étaient utilisées pour le streaming de données, ce qui faisait courir le risque de coûts très élevés.
    • Après le signalement du problème, Eight Sleep a révoqué les clés.

  • Une alternative à l’aide d’un refroidisseur d’aquarium

    • Il est possible d’assurer la régulation de la température en connectant les tubes en caoutchouc reliés à la housse d’Eight Sleep à un refroidisseur d’aquarium.
    • Cette méthode constitue une solution simple pour éviter la connexion Internet, la porte dérobée et les problèmes de sécurité.

  • Conclusion

    • Eight Sleep propose un produit innovant, mais ses problèmes de sécurité et son modèle par abonnement peuvent être source d’inconfort pour les utilisateurs.
    • L’utilisation d’un refroidisseur d’aquarium permet de bénéficier de la régulation de la température de manière plus sûre et plus simple.

À lire aussi

1 commentaires

 
GN⁺ 2025-02-22
Commentaires sur Hacker News

  • En tant que personne souffrant d’insomnie, je pensais que ce produit avait de la valeur

    • Je compatis, car j’ai vécu une expérience similaire
    • Ce qui m’a aidé, c’était une machine à bruit blanc comme celles qu’on utilise pour endormir les bébés
    • Avantage : grâce à cette machine, j’ai pu bien dormir
    • Inconvénient : maintenant, je ne peux plus bien dormir sans elle, et je dois toujours l’emporter en voyage
    • Une autre façon d’améliorer mon sommeil a été d’accepter que la vie soit plutôt pas mal
    • En réalisant que mes inquiétudes étaient exagérées, la qualité de mon sommeil s’est améliorée
    • J’espère que cette expérience pourra aider d’autres personnes

  • L’état de la sécurité du produit n’était pas vraiment une surprise, mais les points suivants étaient choquants

    • Le lit coûte 2 000 $
    • Il ne fonctionne pas si Internet est coupé
    • Les fonctions de base sont cachées derrière un abonnement supplémentaire à 19 $/mois
    • Le seul moyen de contrôler le lit est via une application mobile
    • Le produit ne devrait pas avoir besoin de dépendre de serveurs externes, ni nécessiter un abonnement
    • Il est triste que le marché ne s’oppose pas à cette logique de rente de l’industrie technologique

  • J’en ai finalement eu assez des problèmes cyber et j’ai décidé de chercher un lit à température réglable nécessitant moins de connexion Internet

    • Cette partie m’a vraiment ouvert les yeux
    • Ils peuvent savoir à quelle heure vous dormez
    • Ils peuvent détecter s’il y a une ou deux personnes dans le lit
    • Ils peuvent savoir si le lit est vide pendant la nuit
    • Je me demande si des publications grand public font des tests de sécurité des produits
    • Des organismes comme Consumer Reports devraient indiquer si un produit est ou non un cauchemar en matière de sécurité
    • Au final, il faut que les gens diffusent ce genre d’informations, et que les réseaux sociaux alertent les consommateurs

  • Quand on parle de backdoor, qu’est-ce que cela signifie exactement ?

    • Eight Sleep a besoin d’un moyen de pousser des mises à jour, de fournir son service et d’assurer le support
    • Mais permettre à n’importe quel ingénieur de se connecter en SSH à distance au lit d’un client pour exécuter du code arbitraire, c’est aller beaucoup trop loin
    • J’ai trouvé des preuves que cela se produit réellement

  • Ma femme utilise Bedjet, qui a une télécommande et une application

    • Heureusement, cela fonctionne aussi sans connexion Internet
    • Il utilise un drap en forme de sac dans lequel de l’air est soufflé pour régler la température
    • Pour les femmes en ménopause, la régulation de la température aide à préserver leur santé mentale

  • Certaines femmes ne souffrent pas énormément pendant la périménopause, mais cela a un effet considérable sur les hormones

    • Conseil aux partenaires de femmes qui traversent la ménopause : il faut croire ce qu’elles vivent
    • Beaucoup de partenaires ne réalisent pas à quel point ce processus est difficile

  • Le fait que le CEO soit un admirateur de Musk est amusant

    • Il utilise un langage similaire dans ses tweets : « Une partie de SF a mal dormi. Il faut corriger ça »

  • Un abonnement à 20 $/mois pour un lit est objectivement ridicule

    • Je n’arrive pas à imaginer comment cette entreprise attire des clients

  • Eight Sleep tweete qu’ils collectent les données de lit des gens et qu’ils vous regardent parfois dormir

    • C’est largement suffisant pour ne jamais utiliser ce service
    • C’est glauque

  • On dirait que le CEO d’Eight Sleep, Matteo, se concentre sur l’idée de fournir un bon sommeil à DOGE

    • Il y a de plus en plus de suiveurs

  • Il y a un esp32 à côté du lit

    • En enregistrant la force du signal RSSI, on peut savoir si quelqu’un était dans le lit et s’il a changé de position
    • Un PIR détecte les mouvements, mais le simple suivi du RSSI suffit déjà
    • Un téléphone fonctionnerait tout aussi bien, et certains SDK suivent probablement le RSSI du téléphone pour voir s’il y a des changements à proximité
    • Cela laisse entendre beaucoup de choses