Ignorer et passer au contenu
Mise à jour sur l'avancement de la résolution des problèmes de sécurité concernant les systèmes de diagnostic à distance Yarbo (phase II)
Depuis notre avis de sécurité du 8 mai, Yarbo a continué de renforcer la sécurité du lien de communication entre nos appareils et les services de backend. En réponse aux problèmes précédemment divulgués par un chercheur en sécurité externe, nous avons terminé une deuxième phase de mises à jour de sécurité qui renforcent davantage l'authentification et les contrôles d'accès sur le canal de messagerie entre les appareils et notre backend.
Les mises à jour clés incluses dans cette phase sont décrites ci-dessous.
1. Authentification et contrôles d'accès améliorés pour les canaux de messagerie des appareils
Nous avons mis en œuvre des contrôles d'authentification et d'autorisation pour les canaux de messagerie en temps réel entre les appareils et les services cloud, et introduit des mécanismes de contrôle d'accès granulaires basés sur les sujets.
Les appareils et les utilisateurs ne peuvent envoyer des commandes et recevoir des messages qu'aux appareils qu'ils possèdent ou auxquels ils ont explicitement obtenu l'accès. L'accès aux données associées aux appareils non autorisés n'est pas autorisé.
2. Mise à niveau des identifiants de connexion des appareils
Nous avons supprimé les identifiants de connexion partagés intégrés dans le micrologiciel des appareils et les avons remplacés par un modèle d'identifiants spécifique à l'appareil.
Chaque appareil utilise désormais son certificat d'appareil unique pour obtenir des identifiants émis dynamiquement pendant le processus de connexion. Ces identifiants ne sont plus à long terme et ne sont plus partagés entre les appareils.
3. Mise à niveau des identifiants de connexion de l'application
L'application mobile Yarbo n'utilise plus les identifiants de connexion partagés intégrés.
Toutes les connexions sont authentifiées et autorisées à l'aide des identifiants d'identité obtenus après la connexion de l'utilisateur, garantissant que les autorisations opérationnelles restent associées au compte utilisateur correspondant.
Informations de mise à jour pour les clients
Cette mise à jour de sécurité s'applique aux versions suivantes :
-
Micrologiciel de l'appareil Yarbo : 3.13.11
-
Application Yarbo : 3.18.6
Veuillez mettre à jour votre application Yarbo vers la dernière version et installer les mises à jour de micrologiciel disponibles lorsque vous y êtes invité pour que ces améliorations de sécurité soient appliquées.
Une fois la mise à jour terminée, votre appareil communiquera avec les services cloud Yarbo à l'aide de mécanismes d'authentification et de contrôle d'accès améliorés sans affecter les fonctionnalités normales.
Engagement continu en matière de sécurité
Avec l'achèvement de cette phase de correction, Yarbo a mis en œuvre les améliorations de sécurité clés décrites en réponse aux découvertes précédemment divulguées concernant les systèmes de diagnostic à distance historiques et les composants d'infrastructure connexes.
Nous apprécions les efforts de divulgation responsable de la communauté de la sécurité et l'engagement constructif qui a contribué à identifier les opportunités d'amélioration.
Les futures mises à jour liées à la sécurité continueront d'être publiées via le Centre de sécurité Yarbo.
Équipe de sécurité Yarbo
Private group · 33.0K members
