Логотип Зефирнет

Генеративный анализ данных

Информационная безопасность

Взломай и войди! «Надежные» гаражные ворота, которые каждый может открыть из любого места — что вам нужно знать

Переиздано Платоном
Переиздано Платоном

Дата:

Вид: 76
by Пол Даклин

Исследователь кибербезопасности Сэм Сабетан вчера обнародовал разоблачения ненадежности против поставщика Интернета вещей Nexx, который продает ряд «умных» устройств, включая устройства для открывания дверей, домашнюю сигнализацию и дистанционно переключаемые вилки питания.

По словам Сабетана, он сообщил об ошибках Nexx еще в январе 2023 года, но безрезультатно.

Вот и решил открыто бить тревогу, сейчас апрель 2023 года.

Предупреждение было сочтено властями достаточно серьезными, чтобы даже громогласно, хотя и неоднократно Агентство по кибербезопасности и безопасности инфраструктуры СШАили CISAопубликовал формальный консультативный о недостатках.

Sabetan намеренно не публиковал точных сведений об ошибках и не предоставлял никакого кода для проверки концепции, который позволил бы любому начать взламывать устройства Nexx, не зная заранее, что они делают.

Но из короткого, отредактированного видео, предоставленного Сабетаном, чтобы доказать свою точку зрения, и сведений об ошибках с номером CVE, перечисленных CISA, достаточно легко понять, как недостатки, вероятно, были запрограммированы в устройствах Nexx.

Точнее, наверное, легко увидеть, что не запрограммировано в системе Nexx, оставив таким образом дверь нараспашку для злоумышленников.

Не требуется пароль

Пять номеров CVE были назначенный к ошибкам (от CVE-2023-1748 до CVE-2023-1752 включительно), которые охватывают ряд упущений в области кибербезопасности, по-видимому, включая следующие три взаимосвязанные ошибки безопасности:

  • Жестко закодированные учетные данные. Код доступа, который можно получить из прошивки Nexx, позволяет злоумышленнику отслеживать собственные облачные серверы Nexx и восстанавливать сообщения управления и контроля между пользователями и их устройствами. Сюда входят так называемые идентификатор устройства – уникальная строка, назначенная каждому устройству. Данные сообщения, по-видимому, также включают адрес электронной почты пользователя, а также имя и инициалы, использованные для регистрации устройства, поэтому здесь также возникает небольшая, но серьезная проблема с конфиденциальностью.
  • Аутентификация с нулевым фактором. Хотя идентификаторы устройств не предназначены для публичной рекламы так же, как, скажем, адреса электронной почты или дескрипторы Twitter, они не предназначены для использования в качестве токенов аутентификации или паролей. Но злоумышленники, которым известен идентификатор вашего устройства, могут использовать его для управления этим устройством без предоставления какого-либо пароля или дополнительных криптографических доказательств того, что им разрешен доступ к нему.
  • Нет защиты от повторных атак. Как только вы узнаете, как выглядит управляющее сообщение для вашего (или чужого) устройства, вы можете использовать те же данные для повторения запроса. Если сегодня вы можете открыть дверь моего гаража, выключить сигнализацию или выключить питание моих «умных» розеток, то, похоже, у вас уже есть все сетевые данные, необходимые для того, чтобы делать одно и то же снова и снова, что-то вроде те старые и ненадежные инфракрасные автомобильные брелки, которые можно было записывать и воспроизводить по желанию.

Смотри, слушай и учись

Сабетан использовал учетные данные жесткого доступа из прошивки Nexx для мониторинга сетевого трафика в облачной системе Nexx, управляя своей собственной гаражной дверью:

Это достаточно разумно, даже несмотря на то, что учетные данные для доступа, спрятанные в прошивке, не были официально опубликованы, учитывая, что его намерение, похоже, состояло в том, чтобы определить, насколько хорошо защищен (и насколько конфиденциальен) обмен данными между приложением на его телефоне. и Nexx, а также между Nexx и воротами его гаража.

Вот как он вскоре обнаружил, что:

  • Облачный «брокер» включил в свой трафик ненужные данные к делу открытия и закрытия двери, такие как адреса электронной почты, фамилии и инициалы.
  • Трафик запроса может быть напрямую воспроизведен в облачной службе, и будет повторять то же действие, что и раньше, например, открывать или закрывать дверь.
  • Сетевые данные выявили трафик других пользователей, которые одновременно взаимодействовали со своими устройствами. предполагая, что все устройства всегда использовали один и тот же ключ доступа для всего своего трафика, и, таким образом, любой мог отслеживать всех.

Обратите внимание, что злоумышленнику не нужно знать, где вы живете, чтобы злоупотреблять этой ненадежностью, хотя, если бы они могли связать ваш адрес электронной почты с вашим физическим адресом, они могли бы договориться о том, чтобы присутствовать в тот момент, когда они откроют дверь вашего гаража, или они могли бы подождать выключить сигнализацию, пока они не оказались прямо на подъездной дорожке, и, таким образом, воспользоваться возможностью ограбить вашу собственность.

Злоумышленники могут открыть дверь вашего гаража, не зная и не заботясь о том, где вы живете, и, таким образом, подвергнуть вас опасности воров-авантюристов в вашем районе… просто «ради лулзов», так сказать.

Что делать?

  • Если у вас есть «умный» продукт Nexx, свяжитесь с компанией напрямую. за советом о том, что он планирует делать дальше и к какому сроку.
  • Управляйте своими устройствами напрямую, а не через облачное приложение Nexx, пока не будут доступны исправления, если это возможно для ваших устройств. Таким образом, вы избежите обмена данными управления и контроля с облачными серверами Nexx.
  • Если вы программист, не прибегайте к таким упрощениям безопасности. Жестко запрограммированные пароли или коды доступа были неприемлемы еще в 1993 году, и еще более неприемлемы они стали в 2023 году. Узнайте, как использовать криптографию с открытым ключом для уникальной аутентификации каждого устройства, и научитесь использовать эфемерные (одноразовые) сеансовые ключи, чтобы что данные в каждом командно-административном взаимодействии стоят сами по себе в криптографических терминах.
  • Если вы продавец, не игнорируйте добросовестные попытки исследователей рассказать вам о проблемах. Насколько мы можем видеть в этом случае, Сабетан законно проверил код компании и определил ее готовность к безопасности, потому что он был клиентом. Обнаружив недостатки, он попытался предупредить продавца, чтобы тот помог себе, помог продавцу и всем остальным.

Никому не нравится сталкиваться с обвинениями в том, что его программный код не соответствует требованиям кибербезопасности или что код его внутреннего сервера содержит опасные ошибки…

… но когда доказательства исходят от кого-то, кто говорит вам для вашего же блага и готов дать вам некоторое время, чтобы исправить проблемы, прежде чем обнародовать их, зачем отказываться от такой возможности?

В конце концов, мошенники тратят такие же усилия на поиск таких ошибок, а затем никому не говорят, кроме себя или других мошенников.

Игнорируя законных исследователей и клиентов, которые охотно пытаются предупредить вас о проблемах, вы просто играете на руку киберпреступникам, которые находят ошибки и не говорят о них ни слова.

Как гласит старый анекдот, «Буква S в IoT означает безопасность», и это досадная ситуация, которой можно было бы избежать, и которую нам срочно нужно изменить.

Spot_img

Последняя разведка

Spot_img

Авторские права @ 2024 Plato Technologies Inc.