Siber güvenlik araştırmacısı Sam Sabetan dün halka açıldı güvensizlik açıklamaları kapı açıcılar, ev alarmları ve uzaktan değiştirilebilir elektrik fişleri dahil olmak üzere bir dizi "akıllı" cihaz satan IoT satıcısı Nexx'e karşı.

Sabetan'a göre, hataları Ocak 2023'te Nexx'e bildirdi, ancak boşuna.

Bu yüzden alarmı açıkça çalmaya karar verdi, şimdi Nisan 2023.

Uyarı, yetkililer tarafından yeterince ciddi kabul edildi; ABD Siber Güvenlik ve Altyapı Güvenliği Ajansıya da CISA, yayınlanan resmi danışmanlık kusurlar hakkında.

Sabetan kasıtlı olarak hataların kesin ayrıntılarını yayınlamadı veya herhangi birinin ne yaptığını bilmeden Nexx cihazlarını hacklemeye başlamasına izin verecek herhangi bir kavram kanıtı kodu sağlamadı.

Ancak, Sabetan'ın amacını kanıtlamak için sağladığı kısa, gizlilik açısından düzeltilmiş bir videodan ve CISA tarafından listelenen CVE numaralı hata ayrıntılarından, kusurların muhtemelen Nexx'in cihazlarına nasıl programlandığını anlamak yeterince kolay.

Daha doğrusu, belki de Nexx'in sistemine neyin programlanmadığını görmek kolaydır, böylece saldırganlar için kapıyı sonuna kadar açık bırakır.

Şifre gerekmez

Beş CVE numarası atanmış Görünüşe göre aşağıdaki birbirine bağlı üç güvenlik hatası da dahil olmak üzere bir dizi siber güvenlik ihmalini kapsayan hatalara (CVE-2023-1748 ila CVE-2023-1752 dahil):

• Sabit kodlanmış kimlik bilgileri. Nexx üretici yazılımından alınabilen bir erişim kodu, bir saldırganın Nexx'in kendi bulut sunucularını gözetlemesine ve kullanıcılar ile cihazları arasındaki komut ve kontrol mesajlarını kurtarmasına olanak tanır. Bu sözde içerir cihaz tanımlayıcı – her cihaza atanan benzersiz bir dizi. Görünüşe göre mesaj verileri, kullanıcının e-posta adresini ve cihazı kaydetmek için kullanılan adı ve baş harfini de içeriyor, bu nedenle burada da küçük ama önemli bir gizlilik sorunu var.
• Sıfır faktörlü kimlik doğrulama. Cihaz kimliklerinin, örneğin e-posta adresleri veya Twitter kullanıcı adlarıyla aynı şekilde herkese açık olarak tanıtılması amaçlanmasa da, kimlik doğrulama belirteçleri veya şifreleri olarak hizmet etmeleri amaçlanmamıştır. Ancak cihaz kimliğinizi bilen saldırganlar, cihaza erişmeye yetkili olduklarına dair herhangi bir şifre veya ek kriptografik kanıt sağlamadan cihazı kontrol etmek için kullanabilirler.
• Tekrar saldırılarına karşı koruma yok. Kendi (veya bir başkasının) aygıtı için bir komut ve kontrol mesajının nasıl göründüğünü öğrendikten sonra, isteği tekrarlamak için aynı verileri kullanabilirsiniz. Bugün garaj kapımı açabilir, alarmımı kapatabilir veya "akıllı" prizlerimi açıp kapatabilirseniz, aynı şeyi tekrar tekrar yapmak için ihtiyacınız olan tüm ağ verilerine zaten sahipmişsiniz gibi görünüyor, biraz istediğiniz zaman kaydedip tekrar oynatabileceğiniz o eski ve güvensiz kızılötesi araba uzaktan kumandaları.

Bak, dinle ve öğren

Sabetan, kendi garaj kapısını çalıştırırken Nexx'in bulut sistemindeki ağ trafiğini izlemek için Nexx'in donanım yazılımındaki kablolu erişim kimlik bilgilerini kullandı:

Bugün araştırmamı açıklıyorum @GetNexx 'nin akıllı ekosistemi: Herhangi bir müşterinin garaj kapısını açabilirim. Uyarılara rağmen konuyu dikkate almadılar. 1/4 https://t.co/9V5uuT3LLE

— Sam Sabetan (@samsabetan) 4 Nisan 2023

Telefonundaki uygulama arasındaki veri alışverişinin ne kadar güvenli (ve gizlilik bilincine sahip) olduğunu belirleme niyetinde olduğu düşünülürse, ürün yazılımına gömülü erişim kimlik bilgileri resmi olarak yayınlanmamış olsa da bu yeterince makul. ve Nexx ve Nexx ile garaj kapısı arasında.

Kısa süre sonra şunu keşfetti:

• Bulut "aracı" hizmeti, trafiğine gerekli olmayan verileri dahil etti e-posta adresleri, soyadları ve baş harfleri gibi kapı açma ve kapama işine.
• İstek trafiği doğrudan bulut hizmetine aktarılabilir, ve kapıyı açmak veya kapatmak gibi daha önce yaptığı aynı eylemi tekrar ederdi.
• Ağ verileri, aynı anda cihazlarıyla etkileşime giren diğer kullanıcıların trafiğini ortaya çıkardı. tüm cihazların tüm trafiği için her zaman aynı erişim anahtarını kullandığını ve böylece herkesin herkesi gözetleyebileceğini öne sürüyor.

Bir saldırganın bu güvensizlikleri kötüye kullanmak için nerede yaşadığınızı bilmesine gerek olmadığını unutmayın, ancak e-posta adresinizi fiziksel adresinize bağlayabilirlerse garaj kapınızı açar açmaz orada olmayı ayarlayabilir veya bekleyebilirler. alarmınızı tam garaj yolunuza gelene kadar kapatmak ve böylece mülkünüzü soymak için bu fırsatı kullanmak.

Saldırganlar, nerede yaşadığınızı bilmeden veya önemsemeden garaj kapınızı açabilir ve böylece sizi bölgenizdeki fırsatçı hırsızlara maruz bırakabilir… adeta "saçmalamak için".

Ne yapalım?

• Bir Nexx "akıllı" ürününüz varsa, doğrudan şirketle iletişime geçin bundan sonra ne yapmayı planladığı ve ne zaman yapacağı konusunda tavsiye almak için.
• Yamalar kullanıma sunulana kadar Nexx bulut tabanlı uygulama aracılığıyla değil, cihazlarınızı doğrudan çalıştırın, sahip olduğunuz cihazlar için bunun mümkün olduğunu varsayarsak. Bu şekilde, Nexx bulut sunucuları ile koklanabilir komut ve kontrol verileri alışverişinden kaçınacaksınız.
• Bir programcıysanız, bunun gibi güvenlik kısayollarını kullanmayın. Sabit kodlu parolalar veya erişim kodları 1993'te kabul edilemezdi ve şimdi 2023'te çok daha kabul edilemez. her komut ve kontrol etkileşimindeki verilerin kriptografik terimlerle kendi başına durduğunu.
• Satıcıysanız, araştırmacıların size sorunlardan bahsetmek için yaptığı iyi niyetli girişimleri görmezden gelmeyin. Bu vakada görebildiğimiz kadarıyla, Sabetan bir müşteri olduğu için şirketin kodunu yasal olarak inceledi ve güvenlik açısından hazır olduğunu belirledi. Kusurları bulduğunda, satıcıyı kendisine, satıcıya ve diğer herkese yardım etmesi için uyarmaya çalıştı.

Hiç kimse programlama kodlarının siber güvenlik açısından yetersiz olduğu veya arka uç sunucu kodlarının tehlikeli hatalar içerdiği suçlamalarıyla karşı karşıya kalmaktan hoşlanmaz...

…ama kanıt, sizin iyiliğiniz için söyleyen ve halka açılmadan önce sorunları çözmeniz için size biraz zaman vermeye istekli birinden geldiğinde, fırsatı neden geri çeviriyorsunuz?

Ne de olsa dolandırıcılar, bunun gibi böcekleri bulmak için aynı çabayı harcarlar ve sonra kendileri veya diğer dolandırıcılar dışında kimseye söylemezler.

Sizi sorunlar hakkında isteyerek uyarmaya çalışan meşru araştırmacıları ve müşterileri görmezden gelerek, böcek bulan ve onlar hakkında tek kelime etmeyen siber suçluların ekmeğine yağ sürüyorsunuz.

Eski şakanın dediği gibi, “IoT'deki 'S', güvenliği temsil eder”ve bu, acilen değiştirmemiz gereken üzücü ve tamamen önlenebilir bir durum.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://nakedsecurity.sophos.com/2023/04/05/us-government-warning-what-if-anyone-could-open-your-garage-door/