هک کنید و وارد شوید! درهای "ایمن" گاراژ که هر کسی می تواند از هر جایی باز کند - آنچه شما باید بدانید

سام ثابتان، محقق امنیت سایبری، دیروز به صورت عمومی منتشر شد افشاگری های ناامنی در مقابل فروشنده اینترنت اشیا Nexx، که طیف وسیعی از دستگاه‌های «هوشمند» از جمله دربازکن، آلارم خانه و دوشاخه برق قابل تعویض از راه دور را می‌فروشد.

به گفته ثابتان، او در ژانویه 2023 این اشکالات را به Nexx گزارش کرد، اما فایده ای نداشت.

بنابراین او تصمیم گرفت که زنگ خطر را آشکارا به صدا درآورد، اکنون آوریل 2023 است.

این هشدار به اندازه کافی توسط قدرت ها جدی تلقی شد که حتی اگر به طور مکرر از آن نام برده شود آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، یا CISA، منتشر شده است مشاوره رسمی در مورد ایرادات

Sabetan عمداً جزئیات دقیق باگ‌ها را منتشر نکرد، یا هیچ کد اثبات مفهومی ارائه نکرد که به هر کسی اجازه دهد بدون اینکه از قبل بداند در حال انجام چه کاری است شروع به هک کردن دستگاه‌های Nexx کند.

اما با توجه به یک ویدیوی مختصر و اصلاح‌شده با حفظ حریم خصوصی که توسط Sabetan برای اثبات نظرش ارائه شده است، و جزئیات باگ‌های شماره‌بندی شده با CVE که توسط CISA فهرست شده‌اند، به‌اندازه کافی آسان است که بفهمیم این نقص‌ها احتمالاً چگونه در دستگاه‌های Nexx برنامه‌ریزی شده‌اند.

به‌طور دقیق‌تر، شاید به راحتی بتوان آنچه را که در سیستم Nexx برنامه‌ریزی نشده بود، مشاهده کرد، بنابراین درها را برای مهاجمان کاملاً باز گذاشت.

رمز عبور لازم نیست

پنج عدد CVE بوده است اختصاص داده به اشکالات (CVE-2023-1748 تا CVE-2023-1752 شامل)، که تعدادی از حذفیات امنیت سایبری را پوشش می دهد، ظاهراً شامل سه اشتباه امنیتی مرتبط زیر است:

• اعتبارنامه هارد کد شده. یک کد دسترسی که می‌تواند از میان‌افزار Nexx بازیابی شود، به مهاجم اجازه می‌دهد تا سرورهای ابری خود Nexx را جاسوسی کند و پیام‌های فرمان و کنترل را بین کاربران و دستگاه‌هایشان بازیابی کند. این شامل به اصطلاح شناسه دستگاه - یک رشته منحصر به فرد اختصاص داده شده به هر دستگاه. داده‌های پیام ظاهراً شامل آدرس ایمیل کاربر و نام و حرف اول مورد استفاده برای ثبت دستگاه نیز می‌شود، بنابراین یک مشکل کوچک اما مهم حریم خصوصی در اینجا نیز وجود دارد.
• احراز هویت با فاکتور صفر اگرچه قرار نیست شناسه‌های دستگاه مانند آدرس‌های ایمیل یا دسته‌های توییتر به صورت عمومی تبلیغ شوند، اما قرار نیست به‌عنوان نشانه‌های احراز هویت یا رمز عبور استفاده شوند. اما مهاجمانی که شناسه دستگاه شما را می‌دانند، می‌توانند از آن برای کنترل آن دستگاه استفاده کنند، بدون ارائه هیچ نوع رمز عبور یا مدرک رمزنگاری اضافی مبنی بر اینکه مجاز به دسترسی به آن هستند.
• بدون محافظت در برابر حملات تکراری هنگامی که فهمیدید یک پیام فرمان و کنترل برای دستگاه خودتان (یا شخص دیگری) چگونه به نظر می رسد، می توانید از همان داده ها برای تکرار درخواست استفاده کنید. اگر امروز بتوانید در گاراژ من را باز کنید، زنگ ساعت را خاموش کنید، یا برق دوشاخه های "هوشمند" من را بچرخانید، به نظر می رسد که از قبل تمام داده های شبکه را دارید که برای انجام دوباره و دوباره همان کار نیاز دارید، کمی شبیه به آن فوب‌های ماشین مادون قرمز قدیمی و ناامن که می‌توانید آن‌ها را به دلخواه ضبط و پخش کنید.

نگاه کن، گوش کن و یاد بگیر

Sabetan از اعتبار دسترسی سیم‌کشی شده از میان‌افزار Nexx برای نظارت بر ترافیک شبکه در سیستم ابری Nexx در حین کار کردن درب گاراژ خود استفاده کرد:

امروز من تحقیقاتم را در مورد آن رونمایی می کنم @GetNexx اکوسیستم هوشمند: می‌توانم درهای گاراژ هر مشتری را باز کنم. علیرغم هشدارها، آنها این موضوع را نادیده گرفتند. 1/4 https://t.co/9V5uuT3LLE

- سام ثابتان (@samsabetan) آوریل 4، 2023

این به اندازه کافی معقول است، حتی اگر اعتبار دسترسی مدفون شده در سیستم عامل به طور رسمی منتشر نشده باشد، با توجه به اینکه به نظر می رسد قصد او این بوده است که مبادله داده ها بین برنامه روی تلفنش تا چه اندازه ایمن (و تا چه حد نسبت به حفظ حریم خصوصی) خوب بوده است. و Nexx، و بین Nexx و درب گاراژ او.

به این ترتیب او خیلی زود متوجه شد که:

• سرویس «کارگزار» ابری شامل داده‌هایی در ترافیک خود بود که ضروری نبود به تجارت باز و بسته کردن در، مانند آدرس ایمیل، نام خانوادگی و حروف اول.
• ترافیک درخواست می تواند مستقیماً در سرویس ابری پخش شود، و همان عمل قبلی را تکرار می کرد، مانند باز کردن یا بستن در.
• داده‌های شبکه ترافیک سایر کاربرانی را که همزمان با دستگاه‌هایشان در حال تعامل بودند، نشان می‌دهد. نشان می دهد که همه دستگاه ها همیشه از یک کلید دسترسی برای تمام ترافیک خود استفاده می کنند و بنابراین هر کسی می تواند همه را زیر و رو کند.

توجه داشته باشید که مهاجم برای سوء استفاده از این ناامنی‌ها نیازی به دانستن محل زندگی شما ندارد، اگرچه اگر بتواند آدرس ایمیل شما را به آدرس فیزیکی شما گره بزند، می‌تواند ترتیبی دهد که در لحظه باز کردن درب گاراژ شما حضور داشته باشد یا می‌تواند منتظر بماند. تا زنگ هشدار خود را خاموش کنید تا زمانی که دقیقاً در مسیر ورودی شما قرار گیرد و در نتیجه از این فرصت برای سرقت اموال خود استفاده کنید.

مهاجمان می‌توانند درب گاراژ شما را بدون اطلاع یا اهمیت دادن به محل زندگی‌تان باز کنند، و در نتیجه شما را در معرض دزدان فرصت‌طلب در منطقه‌تان قرار دهند... فقط به‌عنوان «لالز».

چه کاری انجام دهید؟

• اگر محصول «هوشمند» Nexx دارید، مستقیماً با شرکت تماس بگیرید برای مشاوره در مورد آنچه که قصد دارد در آینده انجام دهد و تا چه زمانی.
• دستگاه‌های خود را مستقیماً، نه از طریق برنامه مبتنی بر ابر Nexx، تا زمانی که وصله‌ها در دسترس هستند، کار کنید. با فرض اینکه این برای دستگاه هایی که شما دارید امکان پذیر است. به این ترتیب از تبادل داده‌های فرمان و کنترل قابل لمس با سرورهای ابری Nexx جلوگیری می‌کنید.
• اگر برنامه نویس هستید، از میانبرهای امنیتی مانند این استفاده نکنید. پسوردهای رمزگذاری شده یا کدهای دسترسی در سال 1993 غیرقابل قبول بودند، و اکنون که در سال 2023 است بسیار غیرقابل قبول هستند. نحوه استفاده از رمزنگاری کلید عمومی برای احراز هویت منحصر به فرد هر دستگاه را بیاموزید و یاد بگیرید که چگونه از کلیدهای جلسه زودگذر استفاده کنید. که داده ها در هر تعامل فرمان و کنترل از نظر رمزنگاری به تنهایی هستند.
• اگر فروشنده هستید، تلاش‌های صادقانه محققان برای اطلاع از مشکلات را نادیده نگیرید. تا جایی که در این مورد می بینیم ثابتان به دلیل مشتری بودن، به طور قانونی کد شرکت را بررسی و آمادگی امنیتی آن را مشخص کرده است. با پیدا کردن ایرادات، او سعی کرد به فروشنده هشدار دهد که به خودش کمک کند، به فروشنده کمک کند، و به بقیه کمک کند.

هیچ کس دوست ندارد با این اتهامات مواجه شود که کد برنامه نویسی آنها در حد امنیت سایبری نبوده است، یا اینکه کد سرور پشتی آنها حاوی اشکالات خطرناکی است…

... اما وقتی شواهد از جانب کسی می آید که به نفع خود شما می گوید، و مایل است قبل از انتشار عمومی به شما زمان روشنی برای رفع مشکلات بدهد، چرا این فرصت را رد کنید؟

از این گذشته، کلاهبرداران همان تلاش خود را برای یافتن اشکالاتی مانند این صرف می کنند و سپس به هیچ کس به جز خود یا سایر کلاهبرداران نمی گویند.

با نادیده گرفتن محققان و مشتریان قانونی که مشتاقانه سعی می کنند در مورد مشکلات به شما هشدار دهند، فقط دست مجرمان سایبری را بازی می کنید که اشکالات را پیدا می کنند و حتی یک کلمه در مورد آنها دم نمی زنند.

همانطور که جوک قدیمی می گوید، "S" در اینترنت اشیا مخفف امنیت است"، و این یک وضعیت تاسف بار و کاملاً قابل اجتناب است که ما باید فوراً آن را تغییر دهیم.

---

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://nakedsecurity.sophos.com/2023/04/05/us-government-warning-what-if-anyone-could-open-your-garage-door/