Discussion:SE5 IdO sécurité des objets 2024/2025 b5

• Kali Linux Téléphone [1]

• Micro-soutenance du 21 octobre :
  • Wiki : correct avec illustrations ;
  • WiFi WPA-EAP : OK le 25/09/2024, démonstration effectuée après la soutenance ;
  • objets à craquer : roomba E5 et J7 ;
  • enregistreur température :
    • test du système de fichiers ;
    • tentative d'extraction du firmware (via un nucléo).

• Soutenance du 8 janvier :
  • Wiki OK ;
  • enregistreur température :
    • firmware extrait, s'arrêtent sur l'utilisation de ghidra ;
    • il est demandé d'insister un peu sur le logiciel d'ingénierie à rebours ;
  • objets à craquer : roomba E5 et J7 :
    • tests d'API pour récupérer les mots de passe, échec sur les robots fournis (API un peu anciennes) ;
    • sniffeur pour analyser les conversations ;
    • il est demandé d'ajouter sur le Wiki les informations trouvées sur les serveurs distants ;
    • il est demandé d'ajouter sur le Wiki le résultat du nmap sur le port MQTT du roomba ;
    • DNS spoofing en cours pour se faire passer pour le serveur EC2 ;
    • APK décompilée en java, analyse en cours.

• Lecture du 2 février :
  • quelques modifications mineures à la suite de la soutenance durant la fin de la séance ;
  • concernant la demande sur ghidra, nous avons juste le droit à une recherche de chaînes de caractères ...
  • pour les serveurs distants, tentative de géolocalisation des serveurs ...
  • rien de probant concernant le nmap ;
  • pour le spoofing, un joli schéma mais ça s'arrête là ;
  • pas d'avancée sur l'analyse de l'application mobile du robot.

Commentaire ReX : pas de résultat sur le firmware de l'enregistreur de t°, identification de flux IP, identification d'un dispositif MQTT sur le robot (ou la base), quelques éléments découverts sur le MQTT avec l'analyse de l'application mobile mais sans aucune incidence pratique.