Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Hacken und eintreten! Die „sicheren“ Garagentore, die jeder von überall öffnen kann – was Sie wissen müssen

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 75
by Paul Ducklin

Der Cybersicherheitsforscher Sam Sabetan ging gestern mit an die Öffentlichkeit Offenbarungen der Unsicherheit gegen den IoT-Anbieter Nexx, der eine Reihe „intelligenter“ Geräte verkauft, darunter Türöffner, Hausalarme und fernschaltbare Steckdosen.

Laut Sabetan hat er die Fehler bereits im Januar 2023 an Nexx gemeldet, jedoch ohne Erfolg.

Also beschloss er, offen Alarm zu schlagen, jetzt ist April 2023.

Die Warnung wurde von den Machthabern als ernst genug angesehen, dass sogar der wiederholte, wenn auch widerhallende Name genannt wurde US-Behörde für Cybersicherheit und Infrastruktursicherheit, oder CISA, veröffentlicht a formelle Beratung über die Mängel.

Sabetan hat absichtlich keine genauen Details der Fehler veröffentlicht oder einen Proof-of-Concept-Code bereitgestellt, der es jedem ermöglichen würde, sich auf Nexx-Geräte zu hacken, ohne bereits zu wissen, was er tut.

Aber aus einem kurzen, datenschutzbereinigten Video, das von Sabetan zur Verfügung gestellt wurde, um seinen Standpunkt zu beweisen, und den CVE-nummerierten Fehlerdetails, die von CISA aufgelistet sind, ist es einfach genug herauszufinden, wie die Fehler wahrscheinlich dazu kamen, in die Geräte von Nexx programmiert zu werden.

Genauer gesagt ist es vielleicht einfach zu erkennen, was nicht in das System von Nexx einprogrammiert wurde, wodurch die Tür für Angreifer weit offen bleibt.

Kein Passwort erforderlich

Fünf CVE-Nummern wurden zugewiesen zu den Fehlern (CVE-2023-1748 bis einschließlich CVE-2023-1752), die eine Reihe von Auslassungen in der Cybersicherheit abdecken, darunter offenbar die folgenden drei miteinander verbundenen Sicherheitsfehler:

  • Hartcodierte Anmeldeinformationen. Ein Zugriffscode, der aus der Nexx-Firmware abgerufen werden kann, ermöglicht es einem Angreifer, auf den Nexx-eigenen Cloud-Servern herumzuschnüffeln und Command-and-Control-Nachrichten zwischen Benutzern und ihren Geräten wiederherzustellen. Dazu gehören die sog Gerätekennung – eine eindeutige Zeichenfolge, die jedem Gerät zugewiesen ist. Die Nachrichtendaten enthalten offenbar auch die E-Mail-Adresse des Benutzers sowie den Namen und die Initialen, mit denen das Gerät registriert wurde, sodass auch hier ein kleines, aber erhebliches Datenschutzproblem besteht.
  • Null-Faktor-Authentifizierung. Obwohl Geräte-IDs nicht dazu gedacht sind, öffentlich beworben zu werden, wie beispielsweise E-Mail-Adressen oder Twitter-Handles, sollen sie nicht als Authentifizierungstoken oder Passwörter dienen. Aber Angreifer, die Ihre Geräte-ID kennen, können sie verwenden, um dieses Gerät zu kontrollieren, ohne irgendein Passwort oder zusätzliche kryptografische Beweise dafür bereitzustellen, dass sie berechtigt sind, darauf zuzugreifen.
  • Kein Schutz vor Replay-Angriffen. Sobald Sie wissen, wie eine Command-and-Control-Nachricht für Ihr eigenes Gerät (oder das Gerät eines anderen) aussieht, können Sie die Anfrage mit denselben Daten wiederholen. Wenn Sie heute mein Garagentor öffnen, meinen Wecker ausschalten oder meine „intelligenten“ Steckdosen ein- und ausschalten können, dann scheinen Sie bereits alle Netzwerkdaten zu haben, die Sie benötigen, um immer wieder dasselbe zu tun, ein bisschen wie Diese alten und unsicheren Infrarot-Autoanhänger, die Sie nach Belieben aufzeichnen und wiedergeben können.

Sehen, hören und lernen

Sabetan verwendete die fest verdrahteten Zugangsdaten aus der Firmware von Nexx, um den Netzwerkverkehr im Cloud-System von Nexx zu überwachen, während er sein eigenes Garagentor bediente:

Das ist vernünftig, auch wenn die in der Firmware vergrabenen Zugangsdaten nicht offiziell veröffentlicht wurden, da er offenbar beabsichtigt hatte, festzustellen, wie gut gesichert (und wie datenschutzbewusst) der Datenaustausch zwischen der App auf seinem Telefon war und Nexx und zwischen Nexx und seinem Garagentor.

So fand er das bald heraus:

  • Der Cloud-„Broker“-Dienst nahm Daten in seinen Datenverkehr auf, die nicht erforderlich waren zum Geschäft des Öffnens und Schließens der Tür, wie E-Mail-Adressen, Nachnamen und Initialen.
  • Der Anfrageverkehr könnte direkt in den Cloud-Dienst eingespielt werden, und würde dieselbe Aktion wie zuvor wiederholen, z. B. das Öffnen oder Schließen der Tür.
  • Die Netzwerkdaten zeigten den Datenverkehr anderer Benutzer, die gleichzeitig mit ihren Geräten interagierten, was darauf hindeutet, dass alle Geräte immer denselben Zugriffsschlüssel für ihren gesamten Datenverkehr verwenden und somit jeder jeden ausspionieren kann.

Beachten Sie, dass ein Angreifer nicht wissen muss, wo Sie wohnen, um diese Unsicherheiten auszunutzen. Wenn er Ihre E-Mail-Adresse jedoch mit Ihrer physischen Adresse verknüpfen könnte, könnte er sich in dem Moment, in dem er Ihr Garagentor öffnet, anwesend sein, oder er könnte warten Ihren Alarm auszuschalten, bis sie direkt in Ihrer Einfahrt waren, und so die Gelegenheit zu nutzen, in Ihr Eigentum einzubrechen.

Angreifer könnten Ihr Garagentor öffnen, ohne zu wissen oder sich darum zu kümmern, wo Sie wohnen, und Sie so Gelegenheitsdieben in Ihrer Nähe aussetzen … nur „für den Lulz“, sozusagen.

Was ist zu tun?

  • Wenn Sie ein „intelligentes“ Produkt von Nexx haben, wenden Sie sich direkt an das Unternehmen um Ratschläge zu erhalten, was als nächstes geplant ist und bis wann.
  • Bedienen Sie Ihre Geräte direkt, nicht über die Cloud-basierte Nexx-App, bis Patches verfügbar sind, Vorausgesetzt, das ist für die Geräte möglich, die Sie besitzen. Auf diese Weise vermeiden Sie den Austausch von schnüffelbaren Command-and-Control-Daten mit den Nexx-Cloud-Servern.
  • Wenn Sie ein Programmierer sind, nehmen Sie solche Sicherheitsabkürzungen nicht. Hartkodierte Passwörter oder Zugangscodes waren schon 1993 inakzeptabel, und jetzt, im Jahr 2023, sind sie noch viel mehr inakzeptabel. Erfahren Sie, wie Sie die Kryptografie mit öffentlichen Schlüsseln verwenden, um jedes Gerät eindeutig zu authentifizieren, und lernen Sie, wie Sie kurzlebige (Wegwerf-) Sitzungsschlüssel verwenden dass die Daten in jeder Command-and-Control-Interaktion kryptografisch für sich stehen.
  • Wenn Sie ein Anbieter sind, ignorieren Sie nicht ehrliche Versuche von Forschern, Sie über Probleme zu informieren. Soweit wir in diesem Fall sehen können, hat Sabetan den Code des Unternehmens rechtmäßig untersucht und seine Sicherheitsbereitschaft festgestellt, weil er Kunde war. Als er die Mängel fand, versuchte er, den Verkäufer zu warnen, sich selbst zu helfen, dem Verkäufer zu helfen und allen anderen zu helfen.

Niemand wird gerne mit Anschuldigungen konfrontiert, dass sein Programmiercode der Cybersicherheit nicht gewachsen ist oder dass sein Back-End-Servercode gefährliche Fehler enthält …

…aber wenn die Beweise von jemandem stammen, der es Ihnen zu Ihrem eigenen Besten sagt und der bereit ist, Ihnen etwas klare Zeit zu geben, um die Probleme zu beheben, bevor er an die Öffentlichkeit geht, warum sollten Sie die Gelegenheit ablehnen?

Schließlich verwenden die Gauner die gleiche Mühe darauf, Fehler wie diesen zu finden, und erzählen es dann niemandem außer sich selbst oder anderen Gaunern.

Indem Sie legitime Forscher und Kunden ignorieren, die bereitwillig versuchen, Sie vor Problemen zu warnen, spielen Sie nur Cyberkriminellen in die Hände, die Fehler finden und kein Wort darüber verlieren.

Wie der alte Witz sagt, „Das ‚S‘ in IoT steht für Sicherheit“, und das ist eine bedauerliche und absolut vermeidbare Situation, die wir dringend ändern müssen.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.