Исследователь безопасности обнаружил ряд уязвимостей в умных открывателях гаражей марки Nexx. И теперь может удаленно находить нужные гаражи, а затем в любой момент открывать их через Интернет. Ещё один «привет» умным технологиям!

Согласно выводам исследователя безопасности Сэма Сабетана, которые тот опубликовал на Medium, хакеры могут удаленно подключиться к любому контроллеру открывания гаражных ворот и управлять ими из‑за ряда уязвимостей в системе безопасности, которые Nexx упорно не исправляет. Сэм обращается к компании с января месяца, любыми возможными способами, но те отказываются отвечать.

При этом уязвимости представляют серьезную опасность для пользователей Nexx: злоумышленники могут увидеть их адрес и открыть их дом или гараж, а они останутся об этом совершенно не в курсе.

Nexx заявляет, что продает «простые в использовании продукты, которые работают с вещами, которые у вас уже есть». То есть ни гараж, ни двери менять не приходится. Продукт просто подключается к существующему устройству открывания гаражных ворот — и позволяет активировать его удаленно через приложение для смартфона. «Жизнь сложна. Вы не должны беспокоиться еще и о том, что оставили дверь гаража открытой. Получите душевное спокойствие!», — рекламирует компания на своем веб‑сайте.

Nexx также проводит успешные кампании на Kickstarter, обещая «удобную и умную безопасность». Они пишут, что «Все продукты Nexx защищены новейшей технологией шифрования, работающей на облачных серверах в США и поддерживаемой американской компанией. Приложение Nexx разработано нашими инженерами из США и регулярно обновляется в соответствии с последними стандартами безопасности для устройств IoT».

Тем временем, как оказалось, её контроллеры Smart Garage можно искать и открывать по адресу электронной почты, идентификатору устройства или просто имени и инициалам. Все устройства Nexx подвержены описанным далее уязвимостям, вплоть до дверного звонка. По оценкам, затронуто более 40 000 устройств, расположенных как в жилых, так и в коммерческих помещениях. В РФ девайсы Nexx тоже продаются, включаются в списки топовых, плюс их можно легко купить на Aliexpress за $80.

Как взломать гараж за 5 минут

Мобильное приложение Nexx Home, совместимое как с Android, так и с iOS, помогает пользователям настраивать свои новые устройства. Всё происходит через Nexx Cloud, облако, которое верифицирует смартфон и открывает ему доступ к девайсам, пересылая пароль от них. Запрос к облаку на получение учетных данных — это просто вызов API в мобильном приложении, а возвращение пароля для конкретного пользователя происходит через MQTT.

MQTT (Message Queuing Telemetry Transport) — это упрощенный протокол обмена сообщениями, разработанный для устройств с ограниченными ресурсами и сетей с низкой пропускной способностью или высокой задержкой. Идеальный вариант для гаражей и интернета вещей! MQTT помогает обеспечить надежную связь между устройством, пользователем и облаком. Например, устройство для открывания гаражных ворот регулярно отправляет сообщения, такие как обновления своего статуса, предупреждения или уведомления, центральной системе. А та затем собирает статистику и распространяет информацию среди подписанных клиентов.

В устройствах IoT на основе MQTT крайне важно использовать уникальные пароли для каждого конкретного устройства, чтобы обеспечить безопасную среду связи. Однако в случае с Nexx для всех устройств, как оказалось, использовался универсальный пароль, что ставило под угрозу общую безопасность их системы. Причем он пересылался обратно на смартфон пользователя через MQTT, и его можно было легко перехватить.

Использование универсального пароля для всех устройств — значительная уязвимость, поскольку неавторизованные пользователи могут получить доступ ко всей экосистеме, получив этот общий пароль. При этом они могут поставить под угрозу не только конфиденциальность, но и безопасность клиентов Nexx, контролируя их гаражные ворота без их согласия. Представьте, если гаражные ворота вдруг резко закроются, когда вы под ними проходите!

Помимо того, что жестко закодированный пароль широко доступен в API Nexx и в пересылаемых сообщениях, он также доступен в прошивке, поставляемой с устройством. В общем, не найти его может только слепой. Странно, что всё это не взорвалось за те годы, пока Nexx работала на рынке.

Чтобы убедиться, что ему не привиделось, Сэм Сабетан использовал найденные им учетные данные для доступа к MQTT-серверу Nexx. Получив доступ, он обнаружил, что все сообщения MQTT транслируются на все девайсы, в том числе даже те сообщения, которые были предназначены для других клиентов и устройств.

Электронные адреса пользователей, идентификаторы их устройств и имена с инициалами передаются в сообщении «garageDoorOpener». Можно легко идентифицировать клиентов компании на основе уникальной информации, содержащейся в этих сообщениях. Однако реальная опасность состоит в том, что, воспроизводя сообщение «garageDoorOpener», неавторизованный пользователь может отправить команду гаражной двери клиента — либо открыть, либо закрыть ее.

Более того, эта уязвимость в системе безопасности распространяется не только на устройства открывания гаражных ворот, но и на экосистему Nexx Smart Plug. Воспроизводя сообщения на одном и том же MQTT-сервере, неавторизованные пользователи могут включать и выключать умные розетки, подключенные к различным бытовым приборам, в том числе даже камерам видеонаблюдения. Возможности для злого троллинга открываются почти неограниченные.

Без ответа

Сабетан снял видео-доказательства всего этого процесса взлома. На них показано, как он сначала открывает дверь собственного гаража, как и ожидалось, с помощью приложения Nexx. Потом входит в инструмент для просмотра сообщений, отправленных устройством Nexx. Закрывает дверь с помощью приложения и фиксирует данные, которые устройство отправляло на сервер Nexx во время этого действия.

При этом Сабетан получает не только информацию о своем собственном устройстве, но и сообщения с 558 других устройств, которые ему не принадлежат, но отправляли данные примерно в то же время. Теперь он может видеть идентификаторы устройств, адрес электронной почты и имя, связанное с каждым из них.

Затем Сабетан воспроизводит команду обратно открыть гараж через ПО, а не через приложение, и его дверь снова открывается. С такой нехитрой техникой он смог удаленно открывать гаражные двери и у других пользователей. И даже управлять их умными розетками и всеми другими девайсами, получающими информацию с облачных серверов Nexx.

Хакеры могут случайным образом открывать двери и управлять электроникой по всему миру, подвергая опасности жизни и имущество пользователей. Чтобы как-то этому противостоять, Сабетан написал в техподдержку компании, а потом вообще по всем адресам, которые смог найти, но не получил ответа. Он также говорит, что Агентство кибербезопасности и безопасности инфраструктуры (CISA) США сообщило ему, что оно также пыталось связаться с компанией, увидев потенциальную угрозу. Но компания пока не ответила им и не смогла исправить уязвимости. Все они по-прежнему доступны хакерам, если те захотят ими воспользоваться.

После того, как его очередное электронное письмо в службу безопасности Nexx осталось без ответа, Сабетан снова связался со службой поддержки компании — только на этот раз сказав, что ему нужна помощь с его собственным продуктом. На этот раз сотрудники службы поддержки ответили. Но когда узнали, в чем состоит ситуация, прекратили общение. Пока что ситуация остается нерешенной.

В конце своего поста Сэм Сабетан рекомендует, если вы являетесь клиентом Nexx, срочно отключить все ваши устройства и связаться с компанией, чтобы та могла проконсультировать вас о дальнейших шагах. Ну и вообще — поменьше пользоваться умными устройствами, защищающими ваши двери и гаражи, пока ситуация с этим и другими продуктами не прояснится.

Промокод для читателей нашего блога!

— 15% на все тарифы VDS (кроме тарифа Прогрев) — по промокоду HabrFIRSTVDS.

50 тысяч активных серверов и 10 тысяч клиентов, которые с нами больше 5 лет.