La Nooie Cam 360

Comme l'un des premiers candidats, nous avons choisi la Nooie Cam 360 du fabricant chinois Shenzhen Apeman Innovation Science & Technology - une caméra IP populaire et fréquemment vendue avec un prix relativement bas et une large distribution. Que cela ait confirmé nos attentes de manière négative ou même nous ait surpris de manière positive est clarifié dans le rapport de test suivant.

Fonctionnalités

En termes de fonctionnalités, la Nooie Cam 360 offre tout ce que vous pouvez attendre dans cette catégorie et au prix conseillé de moins de 50€ : L'enregistrement vidéo se fait en 1080P et cela à l'aide des LED infrarouges 940nm intégrées même dans l'obscurité totale jusqu'à 10m de distance. De plus, la caméra dispose d'un son bidirectionnel, d'une détection de mouvement et de bruit et peut être pivotée ou inclinée presque complètement de 355° horizontalement et de 94° verticalement. Comme d'habitude, la caméra est configurée, gérée et contrôlée via une application mobile pour Android et iOS ("Nooie" ; com.nooie.home). De plus, le voyant d'état, qui indique un enregistrement actif, peut éventuellement être désactivé (pourquoi vous voudriez faire cela reste à voir).

Applications mobiles

Les applications appartenant à l'appareil (versions testées 2.2.1 pour Android et 2.3.0 pour iOS) ont été, comme d'habitude dans nos tests, soumises à une analyse statique dans un premier temps et n'ont montré aucun problème sérieux au début. Comme prévu pour la gamme de fonctions de l'appareil photo, l'application Android demande toutes les autorisations (37 au total) qui sont nécessaires pour la localisation, l'audio, le Bluetooth, etc. - mais aussi les autorisations pour modifier les paramètres du système ou télécharger des fonctions supplémentaires sans en avertir l'utilisateur. Cela seul suggère déjà une collecte de données assez étendue indépendamment de la fonctionnalité réellement fournie. Nous reviendrons sur ce point plus tard.

Les 37 autorisations demandées sur Android ; Certains d'entre eux sont pour le moins suspects (l'accès à l'Ad-ID, le téléchargement sans notification et la localisation via toutes les méthodes disponibles sont plutôt rares et en aucun cas nécessaires à la fonctionnalité pure du système de caméra)

Une autre indication d'une éventuelle vulnérabilité concernant le stockage non sécurisé de données personnelles localement est l'autorisation d'accéder au stockage externe, c'est-à-dire la carte SD. Si des données y sont effectivement stockées, elles sont également accessibles par toutes les autres applications installées sur le smartphone. Cependant, aucune menace réelle n'a pu être identifiée ici. L'application stocke les captures d'écran prises à partir du flux de la caméra sur la carte SD, mais la fonction de capture d'écran d'Android ne résoudrait pas cela différemment. Les données critiques, telles que les données de compte, les clés ou similaires, ne pouvaient être trouvées que dans la zone d'application protégée, à laquelle seule l'application Nooie elle-même a un accès exclusif - du moins sur les smartphones non rootés.

L'analyse du manifeste Android ne montre essentiellement que des problèmes standard : un grand nombre de services, de récepteurs et d'activités sont potentiellement susceptibles d'être également accessibles à d'autres applications, ce qui pourrait entraîner une fuite de données involontaire. De plus, l'application est configurée pour autoriser les communications non cryptées par défaut - pas une preuve certaine d'un problème de sécurité, mais au moins une indication déjà.

De plus, plusieurs trackers et modules d'analyse peuvent être identifiés dans le code de l'application. Parmi eux figurent Google Firebase, Firebase Analytics, Firebase Data Transport et Google Mobile Services. Ainsi, une collecte et une analyse assez étendues des données sont possibles dans tous les cas.

Tracker identifié avec entrée dans la base de données Exodus Privacy ; d'autres peuvent encore être trouvés manuellement

La situation est assez similaire pour l'application iOS, quoique en raison de la nature plus restrictive d'iOS avec moins de permissions et sans collecte de données via les services Google bien sûr. Cependant, une configuration qui permet une communication non cryptée via Internet est particulièrement visible ici aussi.

Communication locale et en ligne

Comme mentionné dans la section précédente, l'analyse statique a mis en évidence certaines faiblesses potentielles dans ce domaine. Cela a été étudié plus en détail grâce à l'analyse pratique de la communication concrète et observable de l'appareil et de l'application mobile.

Fondamentalement, la communication ici est également structurée comme dans de nombreux autres représentants de la catégorie de produits : l'authentification et la gestion des comptes sont effectuées via une connexion TLS afin d'exécuter ensuite le contrôle et le flux de caméra via UDP sans connexion. Fondamentalement, il n'y a pas de problème conceptuel avec cela, tant que la connexion TLS est correctement implémentée et sécurisée, et que la charge utile, c'est-à-dire les données d'image et audio réellement transmises du flux UDP, est en outre cryptée. Le protocole UDP n'offre pas cette option par défaut, c'est donc ici que le fabricant doit ajouter lui-même une couche de chiffrement. Comme dit, pas de problème avec cette implémentation, si ces points sont pris en compte – Dans le cas de la Nooie Cam 360, cependant, un « si » avec un point d'interrogation.

Le flux de caméra lui-même semble sécurisé au premier abord. Nous pouvions également identifier des parties en texte brut ici et là, mais il s'agissait d'informations plutôt non critiques qui pouvaient également être sécurisées, mais ne causaient fondamentalement aucune vulnérabilité. Une analyse de code limitée dans le cadre de la vérification rapide a également indiqué une implémentation assez solide et un chiffrement de la charge utile avec AES (avec l'aide du SDK relativement fréquemment intégré du fabricant chinois d'IoT Tuya dans la version 3.34.5).

La communication UDP est entièrement implémentée via les bibliothèques natives Tuya (y compris le cryptage de charge utile AES)

Le vrai problème, cependant, est en fait la communication pour l'authentification et l'administration, qui, bien que cryptée avec TLS 1.2, sape complètement la protection du flux de la caméra en raison de sa mise en œuvre. Nous avons pu identifier une vulnérabilité classique sous la forme d'une validation de certificat insuffisante côté application. Une simple attaque de type "man-in-the-middle" sur les connexions des applications permet ainsi de lire les détails du compte, les données de l'utilisateur, etc., et de prendre ainsi le contrôle de comptes entiers. Le mot de passe du compte lui-même est ensuite transmis en tant que MD5 et peut donc également être reconstruit relativement facilement, surtout s'il s'agit d'un mot de passe en langage naturel. Utilisation de l'application mobile dans un lieu public,

Attaque MitM réussie lors de la connexion ; Mot de passe en tant que hachage MD5Réponse de connexion avec jeton d'actualisation

La grande quantité de données que le système de caméra collecte et transmet sur l'utilisateur et le téléphone de l'utilisateur est également perceptible à partir de la lecture de la communication. Nous reviendrons sur ce point dans la section suivante.

De plus, comme d'habitude, nous avons également soumis le côté serveur de la solution à une analyse de sécurité rapide et n'avons trouvé aucun problème super critique. Seule une petite mise à jour des configurations de serveur serait suggérée ici - la prise en charge des versions 1.0 et 1.1 du protocole TLS obsolète depuis longtemps laisse quelques points faibles théoriques et devrait être désactivée immédiatement. Dans l'implémentation actuelle des applications, cependant, ce point n'est presque pas pertinent, car les connexions dans la version 1.2 plus récente de TLS sont également vulnérables à un certain nombre d'attaques ici.

Balayage de 3 adresses IP avec lesquelles la communication a été observée, par exemple pour l'authentification ; le bleu correspond aux informations collectées, l'orange aux problèmes de gravité moyenne

Protection des données et confidentialité

Pour cette zone de test, comme toujours, nous avons examiné la politique de confidentialité et recherché des informations sur la collecte, le traitement et le stockage des données. Les incohérences entre les informations fournies et le comportement réel observé du produit sont particulièrement intéressantes ici. Ces incohérences peuvent être une collecte de données non mentionnée, des trackers inclus ou des fonctionnalités ayant des implications sur la confidentialité et la protection des données.

La politique de confidentialité (au 8 avril 2021) de la solution Nooie est assez détaillée en elle-même. Nous n'avons pas été en mesure de trouver une version pour les utilisateurs germanophones (ou même « non anglophones »), mais à part cela, le niveau de détail et d'informations qui y était fourni était déjà assez étendu, voire complet.

Mais d'abord, la question la plus importante : quelles données sont collectées ? Réponse courte : Tout. Réponse longue : En principe, tout ce que la combinaison application et caméra peut tirer du contexte d'utilisation est collecté. Cela inclut toutes les informations sur le smartphone utilisé, y compris le modèle, l'identifiant unique de l'appareil, l'identifiant international de l'appareil mobile (IMEI), les données de localisation via GPS, WiFi et Bluetooth, les applications installées, l'adresse MAC, le numéro de téléphone, etc. De plus, les données qui peuvent extraites des enregistrements des caméras elles-mêmes sont également collectées. Selon la politique de confidentialité, cela inclut par exemple l'aménagement de la pièce sur le site d'installation, les informations sur les articles et leur distribution, les personnes présentes et les animaux domestiques (!?), les informations de détection de mouvement et de bruit, et par conséquent également les informations faciales et vocales pour les personnes présentes.

Extrait de la politique de confidentialité concernant la collecte de données

La quantité d'informations collectées n'est pas quelque chose qui pourrait être critiqué, tant que l'utilisateur en est informé en détail. Ce que l'utilisateur décide pour lui-même et ses données lui appartient. Nous aimerions tout de même le mentionner car il dépasse évidemment ce qui serait nécessaire pour la fonctionnalité pure du système de caméra à notre avis.

En dehors de cela, il existe encore quelques modules de suivi classiques qui ne sont pas explicitement mentionnés nommément dans la politique de confidentialité, mais sont inclus dans l'application et, selon notre observation, sont également actifs pendant le fonctionnement. Comme mentionné précédemment, ce sont les modules Firebase de Google que l'on trouve souvent de nos jours, en l'occurrence Firebase, Firebase Analytics et Firebase Data Transport.

A découvrir également : lampe torche la plus puissante

Bibliothèques Firebase intégrées dans l'application Android

Verdict

La Nooie Cam 360 est une solution de caméra tout à fait utilisable. En fait, on s'attendait à pire avant. Bien sûr, nous devons également noter qu'il ne s'agissait que de notre vérification rapide - nous n'avons pas plongé dans les profondeurs les plus profondes de la solution et ne pouvons donc pas complètement exclure d'autres abîmes. Ce que nous avons vu, cependant, pourrait être transformé en une solution de sécurité assez solide avec quelques mises à jour et correctifs gérables. La grave faille de sécurité dans la communication en ligne et la mise en œuvre loin d'être parfaite de la protection des données et de la vie privée n'autorisent pas plus d'1 étoile sur 3 comme note en l'état actuel - mais certes 1 étoile de plus que ce que nous avions initialement craint.