Попередження уряду США! Що, якби хтось міг відкрити двері вашого гаража?

Дослідник кібербезпеки Сем Сабетан вчора оприлюднив викриття небезпеки проти постачальника IoT Nexx, який продає цілий ряд «розумних» пристроїв, у тому числі пристрої для відчинення дверей, домашні сигналізації та розетки з дистанційним перемиканням.

За словами Сабетана, він повідомив про помилки Nexx ще в січні 2023 року, але безрезультатно.

Тому він вирішив відверто бити на сполох, ось квітень 2023 року.

Попередження було визнане владою досить серйозним, щоб навіть резонансне, хоча неодноразово називалося Агентство кібербезпеки та безпеки інфраструктури СШАабо СНД, опублікований а офіційне консультування про недоліки.

Sabetan навмисне не опублікував точні деталі помилок або не надав жодного коду підтвердження концепції, який дозволив би будь-кому почати зламувати пристрої Nexx, навіть не знаючи, що вони роблять.

Але з короткого відео, відредагованого з порушенням конфіденційності, наданого Сабетаном, щоб підтвердити свою точку зору, і деталей про помилку з номером CVE, перелічених CISA, досить легко зрозуміти, як недоліки, ймовірно, були запрограмовані в пристроях Nexx.

Точніше, мабуть, легко побачити, що не було запрограмовано в системі Nexx, залишаючи двері навстіж відкритими для зловмисників.

Пароль не потрібний

Було п'ять номерів CVE призначений до помилок (CVE-2023-1748 до CVE-2023-1752 включно), які охоплюють низку упущень кібербезпеки, вочевидь, включаючи наступні три взаємопов’язані помилки безпеки:

• Жорстко закодовані облікові дані. Код доступу, який можна отримати з мікропрограми Nexx, дозволяє зловмиснику стежити за власними хмарними серверами Nexx і відновлювати командно-контрольні повідомлення між користувачами та їхніми пристроями. Сюди входить т. зв ідентифікатор пристрою – унікальний рядок, призначений кожному пристрою. Очевидно, дані повідомлення також включають адресу електронної пошти користувача, ім’я та ініціал, які використовуються для реєстрації пристрою, тому тут також є невелика, але значна проблема конфіденційності.
• Нульовий фактор автентифікації. Хоча ідентифікатори пристроїв не призначені для публічної реклами так само, як, скажімо, адреси електронної пошти чи обробки Twitter, вони не призначені для використання маркерів автентифікації чи паролів. Але зловмисники, які знають ідентифікатор вашого пристрою, можуть використовувати його для керування цим пристроєм, не надаючи жодного пароля чи додаткових криптографічних доказів того, що вони мають доступ до нього.
• Немає захисту від повторних атак. Коли ви дізнаєтесь, як виглядає командно-керуюче повідомлення для вашого власного (або чужого) пристрою, ви можете використовувати ті самі дані, щоб повторити запит. Якщо ви можете сьогодні відкрити двері мого гаража, вимкнути сигналізацію чи ввімкнути живлення моїх «розумних» штекерів, тоді, здається, у вас уже є всі мережеві дані, які вам потрібні, щоб робити те саме знову і знову, схоже на ті старі та ненадійні інфрачервоні автомобільні брелоки, які ви можете записувати та відтворювати за бажанням.

Дивіться, слухайте і вчіться

Sabetan використовував облікові дані апаратного доступу з мікропрограми Nexx, щоб контролювати мережевий трафік у хмарній системі Nexx під час керування дверима свого гаража:

Сьогодні я представляю своє дослідження @GetNexx Розумна екосистема: я міг відкрити двері гаража будь-якого клієнта. Незважаючи на попередження, вони проігнорували це питання. 1/4 https://t.co/9V5uuT3LLE

— Сем Сабетан (@samsabetan) Квітень 4, 2023

Це цілком розумно, навіть незважаючи на те, що облікові дані доступу, заховані в мікропрограмі, не були офіційно опубліковані, враховуючи, що його намір, здається, полягав у тому, щоб визначити, наскільки добре захищений (і наскільки конфіденційний) обмін даними між програмою на його телефоні і Nexx, а також між Nexx і дверима його гаража.

Ось як він незабаром виявив, що:

• Хмарний «посередник» включив у свій трафік непотрібні дані до бізнесу відкривання та закривання дверей, наприклад адреси електронної пошти, прізвища та ініціали.
• Трафік запиту може бути безпосередньо відтворений у хмарній службі, і буде повторювати ту саму дію, що й раніше, наприклад відкривати чи закривати двері.
• Дані мережі виявили трафік інших користувачів, які одночасно взаємодіяли зі своїми пристроями, припускаючи, що всі пристрої завжди використовували той самий ключ доступу для всього свого трафіку, і таким чином будь-хто міг стежити за кожним.

Зауважте, що зловмиснику не потрібно буде знати, де ви живете, щоб зловживати цими незахищеними даними, хоча, якби вони могли пов’язати вашу адресу електронної пошти з вашою фізичною адресою, вони могли б організувати присутність у момент, коли вони відкривають двері вашого гаража, або вони могли б почекати щоб вимкнути вашу сигналізацію, доки вони не опиняться прямо на вашому під’їзді, і таким чином використати можливість пограбувати ваше майно.

Зловмисники можуть відкрити двері вашого гаража, не знаючи чи не піклуючись про те, де ви живете, і таким чином викрити вас опортуністично налаштованим злодіям у вашому районі… просто, так би мовити, «для дурниці».

Що ж робити?

• Якщо у вас є «розумний» продукт Nexx, зв’яжіться безпосередньо з компанією отримати пораду щодо того, що планує зробити далі та коли.
• Керуйте своїми пристроями безпосередньо, а не через хмарну програму Nexx, доки не будуть доступні виправлення, припускаючи, що це можливо для пристроїв, якими ви володієте. Таким чином ви уникнете обміну командно-контрольними даними з хмарними серверами Nexx.
• Якщо ви програміст, не використовуйте такі ярлики безпеки. Жорстко закодовані паролі чи коди доступу були неприйнятними ще в 1993 році, а тепер, у 2023 році, вони стали ще неприйнятнішими. Дізнайтеся, як використовувати криптографію з відкритим ключем для унікальної автентифікації кожного пристрою, а також навчіться використовувати ефемерні (викидні) ключі сеансу, щоб що дані в кожній командно-контрольній взаємодії є самостійними в криптографічних термінах.
• Якщо ви постачальник, не ігноруйте добросовісні спроби дослідників повідомити вам про проблеми. Наскільки ми бачимо в цьому випадку, Sabetan законно перевірив код компанії та визначив її готовність до безпеки, оскільки він був клієнтом. Виявивши недоліки, він спробував попередити постачальника, щоб той допоміг собі, постачальнику та всім іншим.

Нікому не подобається, коли його звинувачують у тому, що їхній програмний код не відповідає вимогам кібербезпеки або що їхній серверний код містить небезпечні помилки…

…але коли докази надходять від когось, хто говорить вам для вашого ж блага, і хто готовий дати вам певний час, щоб вирішити проблеми, перш ніж оприлюднити, навіщо відкидати таку можливість?

Зрештою, шахраї витрачають стільки ж зусиль на пошук подібних помилок, а потім нікому не повідомляють, крім себе чи інших шахраїв.

Ігноруючи законних дослідників і клієнтів, які охоче намагаються попередити вас про проблеми, ви просто граєте на руку кіберзлочинцям, які знаходять помилки й не говорять про них.

Як каже старий анекдот, «С в IoT означає безпеку», і це жалюгідна ситуація, якої можна уникнути, і ми маємо терміново змінити її.

---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/04/05/us-government-warning-what-if-anyone-could-open-your-garage-door/