Vtech enchaine les scandales depuis la découverte du hack qui a exposé les données de 6,4 millions d’enfants de 4,8 millions d’adultes utilisant ses appareils. Cette fois ci c’est Ken Munro, de Pen Test Partners, qui a mis en évidence trois nouvelles failles, dont l’une est connue de Vtech depuis plus de deux ans ! La France est le pays le plus touché après les Etats-Unis par le vols de données, et les valeurs boursières mondiales de Vtech ont bien entendu connu une chute inévitable.
Vtech connait les remous médiatiques les plus importants de son histoire. En effet, la société Chinoise doit faire face à un scandal depuis la découverte d’un hack, une faille, permettant de récolter les données de ses utilisateurs, adultes et enfants. Mais comme les mauvaises nouvelles ne viennent jamais seules, cette fois ci c’est Ken Munro, à la tête de PenTestPartners.com, qui alerte sur l’utilisation de l’Innotab de Vtech. Trois nouvelles failles ont été mise en avant en plus de celle qui a causé la fuite des données concernant les utilisateurs.
Une faille vielle de deux ans – Si une erreur peut toujours arriver, lorsque l’on connait qu’une faille existe et qu’on ne fait rien pour l’enlever, c’est qu’on donne le bâton pour se faire battre. Ken Munro, dans un premier article met en évidence l’existence d’une faille au sein du processeur de la tablette, le Rockchip RK3168. En utilisant un outil librement accessible, appelé rkflashtool, n’importe qui peut complètement récupérer les données de la mémoire… Cette faille est selon Ken, connue depuis plus de deux ans, et c’est de la pure négligence de la part de Vtech, qui n’a pas pris les mesures nécessaires pour protéger ses clients.
Dans le même article, l’analyste nous décrit une autre faille issue de l’utilisation d’un slot microSD sur la carte mère, utilisé pour stocker des données systèmes ainsi que des données d’utilisateurs. Une façon trop risquée de stocker les données puisque comme cela concerne les enfants, n’importe qui pourrait la dérober et, en extraire des photos ou d’autres données sensibles les concernants.
Pas besoin d’être Admin pour avoir tous les droits
Dans un article publié aujourd’hui, David Lodge, de PenTestPartners.com (encore), n’y va pas par quatre chemin en l’intitulant « Vtech Innotab Max : c’est de pire en pire ! Les applications fonctionnent en mode Debug » ! Et oui, encore aujourd’hui une autre faille de sécurité a été révélée sur l’innotab de Vtech. Sur les copies d’écran, effectuées lors des tests, il met en évidence le fait que toutes les applications de com.vtech.* fonctionnent en mode debug.
Ce qui veut dire qu’avec une simple connexion, n’importe qui peut lancer ce qu’il veut sur votre appareil, sans avoir besoin d’être administrateur de celui ci. Destiné à nos enfants, ce genre d’appareil affiche décidément des failles qui sont dignes de la négligence affichée de la part de Vtech envers ses produits.