Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

USA:s regering varning! Tänk om någon kunde öppna din garageport?

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 119
by Paul Ducklin

Cybersäkerhetsforskaren Sam Sabetan gick i går offentligt med otrygghetsavslöjanden mot IoT-leverantören Nexx, som säljer en rad "smarta" enheter inklusive dörröppnare, hemlarm och fjärromkopplingsbara strömkontakter.

Enligt Sabetan rapporterade han felen till Nexx redan i januari 2023, men utan resultat.

Så han bestämde sig för att slå larm öppet, nu är det april 2023.

Varningen ansågs allvarlig nog av makthavarna att även de rungande om upprepade namn US Cybersecurity and Infrastructure Security Agency, eller CISA, publicerade a formell rådgivning om bristerna.

Sabetan publicerade medvetet inte exakta detaljer om buggarna, eller gav någon proof-of-concept-kod som skulle tillåta vem som helst att börja hacka sig iväg på Nexx-enheter utan att redan veta vad de gjorde.

Men från en kort, sekretessredigerad video tillhandahållen av Sabetan för att bevisa hans poäng, och de CVE-numrerade buggdetaljerna som listas av CISA, är det lätt nog att ta reda på hur bristerna förmodligen kom att programmeras in i Nexxs enheter.

Mer exakt kanske det är lätt att se vad som inte programmerades in i Nexxs system, vilket lämnar dörren vidöppen för angripare.

Inget lösenord krävs

Fem CVE-nummer har varit delad till buggarna (CVE-2023-1748 till och med CVE-2023-1752), som täcker ett antal cybersäkerhetsbortfall, uppenbarligen inklusive följande tre sammankopplade säkerhetsmisstag:

  • Hårdkodade referenser. En åtkomstkod som kan hämtas från Nexx firmware tillåter en angripare att snoka på Nexxs egna molnservrar och återställa kommando-och-kontrollmeddelanden mellan användare och deras enheter. Detta inkluderar den sk enhetsidentifierare – en unik sträng som tilldelas varje enhet. Meddelandedata inkluderar tydligen även användarens e-postadress och namnet och initialen som användes för att registrera enheten, så det finns ett litet men betydande integritetsproblem här också.
  • Nollfaktorautentisering. Även om enhets-ID:n inte är avsedda att annonseras offentligt på samma sätt som t.ex. e-postadresser eller Twitter-handtag, är de inte avsedda att fungera som autentiseringstokens eller lösenord. Men angripare som känner till ditt enhets-ID kan använda det för att kontrollera den enheten, utan att tillhandahålla någon form av lösenord eller ytterligare kryptografiska bevis för att de är behöriga att komma åt den.
  • Inget skydd mot reprisattacker. När du väl vet hur ett kommando-och-kontrollmeddelande ser ut för din egen (eller någon annans) enhet kan du använda samma data för att upprepa begäran. Om du kan öppna min garageport, stänga av mitt larm eller slå på strömmen på mina "smarta" pluggar idag, så verkar det som att du redan har all nätverksdata du behöver för att göra samma sak om och om igen, lite som de där gamla och osäkra infraröda biltelefonerna som du kan spela in och spela upp efter behag.

Titta, lyssna och lär

Sabetan använde de fasta åtkomstuppgifterna från Nexxs firmware för att övervaka nätverkstrafiken i Nexxs molnsystem medan han skötte sin egen garageport:

Det är rimligt nog, även om åtkomstuppgifterna begravda i den fasta programvaran inte publicerades officiellt, med tanke på att hans avsikt verkar ha varit att avgöra hur väl säkrade (och hur integritetsmedvetna) datautbytet var mellan appen på hans telefon och Nexx, och mellan Nexx och hans garageport.

Så upptäckte han snart att:

  • Molnmäklartjänsten inkluderade data i sin trafik som inte var nödvändig till verksamheten att öppna och stänga dörren, såsom e-postadresser, efternamn och initialer.
  • Begäran trafiken kan spelas upp direkt i molntjänsten, och skulle upprepa samma åtgärd som tidigare, som att öppna eller stänga dörren.
  • Nätverksdata avslöjade trafiken för andra användare som interagerade med sina enheter samtidigt, vilket tyder på att alla enheter alltid använde samma åtkomstnyckel för all sin trafik, och därmed att vem som helst kunde snoka på alla.

Observera att en angripare inte skulle behöva veta var du bor för att missbruka dessa osäkerheter, men om de kunde knyta din e-postadress till din fysiska adress, kan de ordna med att vara närvarande när de öppnade din garageport, eller så kunde de vänta att stänga av ditt larm tills de stod precis på din uppfart, och på så sätt utnyttja möjligheten att göra inbrott i din fastighet.

Angripare kunde öppna din garageport utan att veta eller bry sig om var du bodde, och på så sätt utsätta dig för opportunistiska tjuvar i ditt område... bara "för lulz", så att säga.

Vad göra?

  • Om du har en Nexx "smart" produkt, kontakta företaget direkt för råd om vad den planerar att göra härnäst och när.
  • Använd dina enheter direkt, inte via den Nexx molnbaserade appen, tills patchar finns tillgängliga, förutsatt att det är möjligt för de enheter du äger. På så sätt slipper du utbyta sniffbar kommando-och-kontrolldata med Nexx molnservrar.
  • Om du är en programmerare, ta inte säkerhetsgenvägar som denna. Hårdkodade lösenord eller åtkomstkoder var oacceptabla redan 1993, och de är mycket mer oacceptabla nu det är 2023. Lär dig hur du använder kryptografi med publik nyckel för att autentisera varje enhet unikt, och lär dig hur du använder tillfälliga (slänga) sessionsnycklar så att att data i varje kommando-och-kontroll-interaktion står för sig i kryptografiska termer.
  • Om du är en säljare, ignorera inte bona fide försök från forskare att berätta om problem. Såvitt vi kan se i det här fallet undersökte Sabetan lagligen företagets kod och fastställde dess säkerhetsberedskap eftersom han var kund. När han hittade bristerna försökte han varna säljaren att hjälpa sig själv, hjälpa säljaren och hjälpa alla andra.

Ingen gillar att bli konfronterad med anklagelser om att deras programmeringskod inte stämmer överens med cybersäkerheten, eller att deras back-end-serverkod innehöll farliga buggar...

…men när bevisen kommer från någon som säger till dig för ditt eget bästa, och som är villig att ge dig lite tid att åtgärda problemen innan de offentliggörs, varför tacka nej till möjligheten?

När allt kommer omkring lägger skurkarna samma typ av ansträngning på att hitta sådana här buggar och berättar sedan för ingen utom sig själva eller andra skurkar.

Genom att ignorera legitima forskare och kunder som villigt försöker varna dig för problem, spelar du bara i händerna på cyberkriminella som hittar buggar och inte andas ett ord om dem.

Som det gamla skämtet uttrycker det, "S:et" i IoT står för säkerhet", och det är en beklaglig och helt undvikande situation som vi snarast måste ändra på.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.