هاك وادخل! أبواب المرآب "الآمنة" التي يمكن لأي شخص فتحها من أي مكان - ما تحتاج إلى معرفته

أعلن الباحث في الأمن السيبراني سام ثابتان يوم أمس الكشف عن انعدام الأمن ضد شركة Nexx ، شركة IoT ، التي تبيع مجموعة من الأجهزة "الذكية" بما في ذلك أجهزة فتح الأبواب وأجهزة الإنذار المنزلية ومقابس الطاقة القابلة للتحويل عن بُعد.

وفقًا لـ Sabetan ، فقد أبلغ عن الأخطاء إلى Nexx في يناير 2023 ، ولكن دون جدوى.

لذلك قرر أن يدق ناقوس الخطر علانية ، الآن هو أبريل 2023.

واعتبر التحذير جديا بما فيه الكفاية من قبل القوى التي كانت حتى مدوية إذا سميت بشكل متكرر وكالة الأمن السيبراني وأمن البنية التحتية الأمريكيةالطرق أو CISA، نشرت أ استشارة رسمية عن العيوب.

لم ينشر Sabetan عن عمد تفاصيل دقيقة عن الأخطاء ، أو يقدم أي رمز لإثبات صحة المفهوم من شأنه أن يسمح لأي شخص بالبدء في القرصنة على أجهزة Nexx دون أن يعرف بالفعل ما يفعله.

ولكن من مقطع فيديو موجز محجوب الخصوصية قدمه Sabetan لإثبات وجهة نظره ، وتفاصيل الخطأ المرقمة CVE المدرجة من قبل CISA ، من السهل بما يكفي معرفة كيف ظهرت العيوب على الأرجح ليتم برمجتها في أجهزة Nexx.

بتعبير أدق ، ربما يكون من السهل رؤية ما لم يتم برمجته في نظام Nexx ، مما يترك الباب مفتوحًا على مصراعيه للمهاجمين.

لا كلمة المرور المطلوبة

خمسة أرقام CVE كانت تعيين إلى الأخطاء (CVE-2023-1748 إلى CVE-2023-1752 ضمناً) ، والتي تغطي عددًا من إغفالات الأمن السيبراني ، بما في ذلك على ما يبدو الأخطاء الأمنية الثلاثة المترابطة التالية:

• أوراق اعتماد مشفرة. يسمح رمز الوصول الذي يمكن استرداده من برنامج Nexx الثابت للمهاجمين بالتجسس على الخوادم السحابية الخاصة بـ Nexx واستعادة رسائل الأوامر والتحكم بين المستخدمين وأجهزتهم. وهذا يشمل ما يسمى ب معرّف الجهاز - سلسلة فريدة مخصصة لكل جهاز. من الواضح أن بيانات الرسالة تتضمن أيضًا عنوان البريد الإلكتروني للمستخدم والاسم والأول المستخدم لتسجيل الجهاز ، لذلك هناك مشكلة خصوصية صغيرة ولكنها مهمة هنا أيضًا.
• المصادقة الصفرية. على الرغم من أن معرّفات الأجهزة لا يُقصد الإعلان عنها علنًا بنفس الطريقة التي يتم بها ، على سبيل المثال ، الإعلان عن عناوين البريد الإلكتروني أو مقابض Twitter ، إلا أنه لا يُقصد منها أن تكون بمثابة رموز مصادقة أو كلمات مرور. لكن يمكن للمهاجمين الذين يعرفون معرف جهازك استخدامه للتحكم في هذا الجهاز ، دون تقديم أي نوع من كلمة المرور أو دليل تشفير إضافي على أنهم مصرح لهم بالوصول إليه.
• لا توجد حماية ضد هجمات الإعادة. بمجرد أن تعرف كيف تبدو رسالة الأمر والتحكم لجهازك (أو جهاز شخص آخر) ، يمكنك استخدام نفس البيانات لتكرار الطلب. إذا كان بإمكانك فتح باب الجراج ، أو إيقاف تشغيل المنبه ، أو تشغيل الطاقة على المقابس "الذكية" الخاصة بي اليوم ، فيبدو أن لديك بالفعل جميع بيانات الشبكة التي تحتاجها لفعل الشيء نفسه مرارًا وتكرارًا ، مثل تلك السيارات القديمة وغير الآمنة التي تعمل بالأشعة تحت الحمراء والتي يمكنك تسجيلها وإعادة تشغيلها حسب الرغبة.

انظر ، استمع وتعلم

استخدم Sabetan بيانات اعتماد الوصول السلكي من البرامج الثابتة لـ Nexx لمراقبة حركة مرور الشبكة في نظام السحابة الخاص بـ Nexx أثناء تشغيل باب المرآب الخاص به:

اليوم أكشف النقاب عن بحثي حول تضمين التغريدة النظام البيئي الذكي: يمكنني فتح أبواب المرآب لأي عميل. على الرغم من التحذيرات ، تجاهلوا القضية. 1/4 https://t.co/9V5uuT3LLE

- سام ثابتان (samsabetan) 4 نيسان

هذا معقول بما فيه الكفاية ، على الرغم من أن بيانات اعتماد الوصول المدفونة في البرنامج الثابت لم يتم نشرها رسميًا ، نظرًا لأن نيته على ما يبدو كانت تحديد مدى تأمين (ومدى وعي الخصوصية) بتبادل البيانات بين التطبيق على هاتفه و Nexx ، وبين Nexx وباب المرآب الخاص به.

هكذا اكتشف قريبًا أن:

• تضمنت خدمة "الوسيط" السحابية بيانات في حركة المرور الخاصة بها لم تكن ضرورية إلى أعمال فتح وإغلاق الباب ، مثل عناوين البريد الإلكتروني والألقاب والأحرف الأولى.
• يمكن إعادة حركة الطلب مباشرة في الخدمة السحابية ، وتكرر نفس الإجراء كما فعلت من قبل ، مثل فتح أو إغلاق الباب.
• كشفت بيانات الشبكة عن حركة مرور المستخدمين الآخرين الذين كانوا يتفاعلون مع أجهزتهم في نفس الوقت ، مما يشير إلى أن جميع الأجهزة تستخدم دائمًا نفس مفتاح الوصول لجميع حركات المرور الخاصة بها ، وبالتالي يمكن لأي شخص التطفل على الجميع.

لاحظ أن المهاجم لن يحتاج إلى معرفة المكان الذي تعيش فيه لإساءة استخدام هذه المخاوف ، على الرغم من أنه إذا كان بإمكانه ربط عنوان بريدك الإلكتروني بعنوانك الفعلي ، فيمكنه الترتيب ليكون حاضرًا في اللحظة التي يفتح فيها باب المرآب الخاص بك ، أو يمكنه الانتظار لإيقاف تشغيل المنبه حتى يصبحوا على حق في طريق سيارتك ، وبالتالي اغتنم الفرصة للسطو على الممتلكات الخاصة بك.

يمكن للمهاجمين فتح باب المرآب الخاص بك دون معرفة مكان إقامتك أو الاهتمام به ، وبالتالي يعرضونك للصوص الانتهازيين في منطقتك ... فقط "للولز" ، كما كان.

ماذا ستفعلين.. إذًا؟

• إذا كان لديك منتج Nexx "ذكي" ، فاتصل بالشركة مباشرة للحصول على المشورة بشأن ما تخطط للقيام به بعد ذلك ، ومتى.
• قم بتشغيل أجهزتك مباشرة ، وليس عبر تطبيق Nexx المستند إلى السحابة ، حتى تتوفر التصحيحات ، على افتراض أن هذا ممكن للأجهزة التي تمتلكها. بهذه الطريقة سوف تتجنب تبادل بيانات القيادة والتحكم القابلة للاستكشاف مع خوادم Nexx السحابية.
• إذا كنت مبرمجًا ، فلا تأخذ اختصارات الأمان مثل هذه. كانت كلمات المرور أو رموز الوصول المشفرة غير مقبولة في عام 1993 ، وهي غير مقبولة أكثر الآن في عام 2023. تعرف على كيفية استخدام تشفير المفتاح العام لمصادقة كل جهاز بشكل فريد ، وتعلم كيفية استخدام مفاتيح الجلسة المؤقتة (المهملة) لذلك أن البيانات في كل تفاعل للقيادة والتحكم تقف من تلقاء نفسها في مصطلحات التشفير.
• إذا كنت بائعًا ، فلا تتجاهل المحاولات الحسنة النية من قبل الباحثين لإخبارك بالمشكلات. بقدر ما يمكننا أن نرى في هذه الحالة ، قام Sabetan بالتحقيق بشكل قانوني في رمز الشركة وحدد جاهزيتها الأمنية لأنه كان عميلاً. عند اكتشاف العيوب ، حاول تنبيه البائع لمساعدة نفسه ومساعدة البائع ومساعدة الآخرين.

لا أحد يحب أن يواجه اتهامات بأن كود البرمجة الخاص به لم يكن بمثابة خدش للأمن السيبراني ، أو أن كود الخادم الخلفي الخاص به يحتوي على أخطاء خطيرة ...

... ولكن عندما يأتي الدليل من شخص يخبرك لمصلحتك ، وهو على استعداد لمنحك بعض الوقت الواضح لإصلاح المشكلات قبل طرحها للجمهور ، فلماذا ترفض هذه الفرصة؟

بعد كل شيء ، يبذل المحتالون نفس النوع من الجهد في العثور على حشرات مثل هذه ، ثم لا يخبرون أحدًا سوى أنفسهم أو المحتالين الآخرين.

من خلال تجاهل الباحثين والزبائن الشرعيين الذين يحاولون عن طيب خاطر تحذيرك بشأن المشاكل ، فأنت تلعب فقط في أيدي مجرمي الإنترنت الذين يجدون أخطاءً ولا يتنفسون شيئًا عنها.

كما تقول النكتة القديمة ، "يشير الحرف" S "في إنترنت الأشياء إلى الأمان"، وهذا وضع مؤسف ويمكن تجنبه تمامًا ونحتاج إلى تغييره بشكل عاجل.

---

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• المصدر https://nakedsecurity.sophos.com/2023/04/05/us-government-warning-what-if-anyone-could-open-your-garage-door/