פרוץ והיכנס! דלתות המוסך ה"מאובטחות" שכל אחד יכול לפתוח מכל מקום - מה שאתה צריך לדעת

חוקר אבטחת הסייבר, סם סבטאן, יצא אתמול לציבור גילויי חוסר ביטחון נגד ספקית ה-IoT Nexx, שמוכרת מגוון מכשירים "חכמים" כולל פותחני דלתות, אזעקות לבית ותקעי חשמל הניתנים להחלפה מרחוק.

לדברי Sabetan, הוא דיווח על הבאגים ל-Nex בינואר 2023, אך ללא הועיל.

אז הוא החליט להפעיל את האזעקה בגלוי, עכשיו זה אפריל 2023.

האזהרה נחשבה רצינית מספיק על ידי המעצמות שאפילו שמותיהם המהדהדים אם חוזרים ונשנים הסוכנות האמריקאית לאבטחת סייבר ותשתיות, או CISA, פרסם א ייעוץ רשמי על הפגמים.

Sabetan לא פרסמה בכוונה פרטים מדויקים על הבאגים, או סיפקה שום קוד הוכחה לקונספציה שיאפשר לכל אחד להתחיל לפרוץ למכשירי Nexx מבלי לדעת כבר מה הם עושים.

אבל מסרטון קצר, כתוב על פרטיות שסיפק Sabetan כדי להוכיח את דבריו, ופרטי הבאגים המסופרים על ידי CISA, קל מספיק להבין איך כנראה הפגמים הגיעו לתכנות במכשירים של Nexx.

ליתר דיוק, אולי, קל לראות מה לא תוכנת למערכת של Nexx, ובכך להשאיר את הדלת פתוחה לרווחה לתוקפים.

אין צורך בסיסמה

חמישה מספרי CVE כבר שהוקצה לבאגים (CVE-2023-1748 עד CVE-2023-1752 כולל), המכסים מספר השמטות של אבטחת סייבר, ככל הנראה כולל שלוש הטעויות הבאות הקשורות באבטחה:

• אישורים בקוד קשיח. קוד גישה שניתן לאחזר מקושחת Nexx מאפשר לתוקף לחטט בשרתי הענן של Nexx ולשחזר הודעות פקודה ושליטה בין המשתמשים והמכשירים שלהם. זה כולל את מה שנקרא מזהה המכשיר - מחרוזת ייחודית שהוקצתה לכל מכשיר. נתוני ההודעה כוללים ככל הנראה גם את כתובת המייל של המשתמש ואת השם והראשי תיבות המשמשים לרישום המכשיר, כך שיש כאן גם בעיית פרטיות קטנה אך משמעותית.
• אימות אפס. למרות שמזהי מכשיר לא נועדו להתפרסם בפומבי באותו אופן כמו, למשל, כתובות דוא"ל או טיפולים בטוויטר, הם לא אמורים לשמש כאסימוני אימות או סיסמאות. אבל תוקפים שיודעים את מזהה המכשיר שלך יכולים להשתמש בו כדי לשלוט במכשיר הזה, מבלי לספק סיסמה כלשהי או הוכחות קריפטוגרפיות נוספות לכך שהם מורשים לגשת אליו.
• אין הגנה מפני התקפות שידור חוזר. ברגע שאתה יודע איך נראית הודעת פקודה ושליטה עבור המכשיר שלך (או של מישהו אחר), תוכל להשתמש באותם נתונים כדי לחזור על הבקשה. אם אתה יכול לפתוח את דלת המוסך שלי, לכבות את האזעקה שלי, או להפעיל את הכוח של התקעים ה"חכמים" שלי היום, אז נראה שכבר יש לך את כל נתוני הרשת שאתה צריך כדי לעשות את אותו הדבר שוב ושוב, קצת כמו אותם שלטי רכב אינפרא אדום הישנים והלא מאובטחים שתוכלו להקליט ולהפעיל מחדש כרצונכם.

תסתכל, הקשיב ותלמד

Sabetan השתמש באישורי הגישה הקשיחים מהקושחה של Nexx כדי לנטר את תעבורת הרשת במערכת הענן של Nexx תוך הפעלת דלת המוסך שלו:

היום אני חושפת את המחקר שלי בנושא @GetNexx המערכת האקולוגית החכמה של: אני יכול לפתוח דלתות מוסך של כל לקוח. למרות האזהרות, הם התעלמו מהנושא. 1/4 https://t.co/9V5uuT3LLE

- סם סבטן (@samsabetan) אפריל 4, 2023

זה סביר מספיק, למרות שאישורי הגישה הקבורים בקושחה לא פורסמו רשמית, בהתחשב בעובדה שנראה כי כוונתו הייתה לקבוע עד כמה מאובטחים (ועד כמה מודעים לפרטיות) חילופי הנתונים בין האפליקציה בטלפון שלו ו- Nexx, ובין Nexx לדלת המוסך שלו.

כך הוא גילה במהרה כי:

• שירות "ברוקר" הענן כלל נתונים בתעבורה שלו שלא היו נחוצים לעסק של פתיחה וסגירה של הדלת, כגון כתובות מייל, שמות משפחה וראשי תיבות.
• ניתן להפעיל מחדש את תעבורת הבקשות ישירות לשירות הענן, ויחזור על אותה פעולה כפי שעשתה קודם, כגון פתיחה או סגירה של הדלת.
• נתוני הרשת חשפו את התעבורה של משתמשים אחרים שהיו באינטראקציה עם המכשירים שלהם באותו זמן, מה שמציע שכל המכשירים תמיד השתמשו באותו מפתח גישה לכל התעבורה שלהם, וכך כל אחד יכול לחטט אחר כולם.

שים לב שתוקף לא יצטרך לדעת היכן אתה גר כדי לנצל לרעה את חוסר הביטחון הזה, אם כי אם הם יכולים לקשור את כתובת הדוא"ל שלך לכתובת הפיזית שלך, הם יכולים לארגן להיות נוכח ברגע שהם פותחים את דלת המוסך שלך, או שהם יכולים לחכות לכבות את האזעקה שלך עד שהם היו ממש בחניה שלך, ובכך לנצל את ההזדמנות כדי לפרוץ את הרכוש שלך.

התוקפים יכלו לפתוח את דלת המוסך שלך מבלי לדעת או לדאוג היכן אתה גר, וכך לחשוף אותך לגנבים אופורטוניסטים באזור שלך... רק "בשביל המנוחה", כביכול.

מה לעשות?

• אם יש לך מוצר "חכם" של Nexx, פנה ישירות לחברה לייעוץ לגבי מה היא מתכננת לעשות הלאה, ועד מתי.
• הפעל את המכשירים שלך ישירות, לא דרך האפליקציה מבוססת הענן של Nexx, עד שיהיו תיקונים זמינים, בהנחה שזה אפשרי עבור המכשירים שבבעלותך. כך תמנע מהחלפת נתוני פקודה ושליטה ניתנים להרחה עם שרתי הענן של Nexx.
• אם אתה מתכנת, אל תעשה קיצורי אבטחה כאלה. סיסמאות מקודדות קשיחות או קודי גישה לא היו מקובלים כבר בשנת 1993, והם הרבה יותר בלתי מקובלים כעת, זה 2023. למד כיצד להשתמש בהצפנת מפתח ציבורי כדי לאמת כל מכשיר באופן ייחודי, ולמד כיצד להשתמש במפתחות הפעלה ארעיים (לזרוק) כך שהנתונים בכל אינטראקציה של פקודה ושליטה עומדים בפני עצמם במונחים קריפטוגרפיים.
• אם אתה מוכר, אל תתעלם מניסיונות בתום לב של חוקרים לספר לך על בעיות. ככל שאנו יכולים לראות במקרה זה, Sabetan בדק את הקוד של החברה כדין וקבע את מוכנותה הביטחונית מכיוון שהוא לקוח. כשמצא את הפגמים, הוא ניסה להזהיר את הספק לעזור לעצמו, לעזור למוכר ולעזור לכל השאר.

אף אחד לא אוהב להתעמת עם האשמות לפיהן קוד התכנות שלו לא עמד ברמת אבטחת הסייבר, או שקוד השרת האחורי שלו הכיל באגים מסוכנים...

...אבל כשהראיות מגיעות ממישהו שאומר לך לטובתך, ומי שמוכן לתת לך זמן ברור לתקן את הבעיות לפני הפרסום, למה לדחות את ההזדמנות?

אחרי הכל, הנוכלים מבלים את אותו סוג של מאמץ על מציאת חרקים כאלה, ואז לא מספרים לאף אחד מלבד עצמם או נוכלים אחרים.

בהתעלמות מחוקרים ולקוחות לגיטימיים שמנסים להזהיר אותך מבעיות, אתה פשוט משחק לידיהם של פושעי סייבר שמוצאים באגים ולא נושמים עליהם מילה.

כפי שהבדיחה הישנה מגדירה זאת, "ה-S' ב-IoT מייצג אבטחה"וזה מצב מצער ונמנע לחלוטין שאנו צריכים לשנות בדחיפות.

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/04/05/us-government-warning-what-if-anyone-could-open-your-garage-door/