Introduction
L'auteur de cet article a découvert que son interface audio Rodecaster Duo avait le protocole SSH activé par défaut. Cela lui a permis de mettre à jour le firmware de l'appareil et d'y accéder en tant qu'administrateur.
Contexte Technique
L'auteur a utilisé des outils tels que Instruments sur macOS pour capturer l'activité disque et identifier le fichier de mise à jour du firmware. Il a également utilisé Wireshark avec USBPcap pour analyser le trafic réseau lors de la mise à jour.
Il a découvert que le Rodecaster Duo utilise un système de mise à jour basé sur des commandes HID (Human Interface Device) et que le firmware est stocké dans un fichier tarball gzipé. L'auteur a également constaté que le dispositif n'avait pas de vérification de signature pour les mises à jour de firmware.
Analyse et Implications
La découverte de l'auteur soulève des questions sur la sécurité du Rodecaster Duo, notamment en ce qui concerne la possibilité d'accéder à l'appareil via SSH. L'auteur a soumis un ticket à RODE pour signaler cette faille de sécurité, mais n'a pas reçu de réponse.
Cela montre que les appareils IoT, même ceux qui ne sont pas destinés à être connectés à Internet, peuvent présenter des risques de sécurité si leurs mises à jour de firmware ne sont pas correctement sécurisées.
Perspective
Il est important pour les fabricants de dispositifs IoT de prendre des mesures pour sécuriser leurs mises à jour de firmware et de fournir des canaux de communication clairs pour les utilisateurs qui découvrent des failles de sécurité.
Les utilisateurs doivent également être conscients des risques de sécurité potentiels liés à l'utilisation d'appareils IoT et prendre des mesures pour les sécuriser, telles que la mise à jour régulière de leur firmware et la surveillance de leur activité réseau.
