На прошлой неделе эксперты «Лаборатории Касперского» опубликовали исследование одной из «умных кормушек» компании Dogness. Это достаточно необычные IoT-устройства, имеющие, впрочем, общую функциональность с умными дверными звонками и видеокамерами: возможность удаленного управления через приложение, передача видео и звука. Есть и еще одна общая черта: категорически небезопасная реализация всех этих функций.
Протестированное устройство определенно входит в список эталонно незащищенных IoT-изделий: трудно найти в нем функцию, связанную с удаленным управлением, которая была бы нормально реализована. На фото приведен пример продукции данной компании, хотя конкретная модель в отчете не названа. Но функциональность у них примерно одна и та же: подключение к домашнему Wi-Fi, работа через Интернет, отправка на сервер видеороликов, записанных на встроенную видеокамеру. Для начала на кормушке был обнаружен работающий протокол telnet, позволяющий удаленное подключение с правами суперпользователя. Пароль root — фиксированный и хранится в прошивке устройства.
Следующая традиционная ошибка небезопасного IoT-устройства: коммуникация с сервером без шифрования. Это открывает возможность атак типа man-in-the-middle, в ходе которых можно полностью перехватить контроль над устройством. Для управления устройством с помощью голосовых команд используется инфраструктура сервиса Alexa, пароль для доступа к которому также один и тот же для всех устройств. Это, пожалуй, наиболее просто эксплуатируемая дыра в кормушках: можно авторизоваться на сервере Alexa под видом устройства и получить доступ к данным других пользователей. А если получится отправить на устройство видоизмененный ответ, представившись голосовым сервисом, то можно вызвать и отказ в обслуживании.
Небезопасно реализована и отправка видеороликов на сервер: по сути, происходит простая загрузка файлов с помощью команды curl в составе скрипта, содержащего фиксированные идентификаторы пользователя. Примечательно, что на стороне приложения взаимодействие с сервером реализовано корректнее, с использованием шифрования данных. Наконец, не составляет проблемы подменить данные в процессе обновления прошивки устройства. Взаимодействие с сервером обновлений, опять же, не защищено. В качестве «меры безопасности» используется доставка обновлений в виде запароленного архива, но сам пароль легко находится в прошивке. Это теоретически открывает возможность перманентного перехвата контроля над большим количеством устройств.
В отчете приводятся понятные рекомендации по нормальной защите устройств IoT. Шифрование данных и авторизация устройств на сервере с использованием уникальных ключей доступа. Обязательная верификация файлов обновлений. Защита самого устройства от методов анализа прошивки, или ее подмены, и так далее. Для (продвинутых) пользователей также есть очевидная рекомендация: если уж приходится иметь дело с незащищенными устройствами, есть смысл выделить их в отдельную Wi-Fi-сеть. Увы, довольно много IoT-устройств чрезвычайно плохо защищены. Совсем недавно мы писали, например, об умных дверных замках Akuvox с небезопасным доступом к встроенной видеокамере. Или о проблемах в умных розетках Belkin, хотя по сравнению с устройствами Dogness они не так уж плохи. Характерна и реакция производителя умных кормушек на сообщения об обнаруженных проблемах. Точнее, ее отсутствие после нескольких попыток выйти на связь.
Еще одна публикация «Лаборатории Касперского» в деталях описывает бэкдор, устанавливаемый на устройства под управлением iOS в рамках атаки «Операция Триангуляция». Имплант устанавливается после получения максимальных прав доступа на устройстве. Среди его возможностей — кража данных из хранилища паролей Keychain, отслеживание геолокации, загрузка произвольных файлов. Между тем в свежем апдейте iOS и iPadOS 16.5.1 закрыта активно эксплуатируемая уязвимость в ядре. Ее обнаружение атрибутировано специалистам «Лаборатории Касперского».
Компания Cyble обнаружила криптомайнер, распространяемый в составе модифицированного инсталлятора игры Super Mario 3: Mario Forever.
Компания Lastpass, в прошлом году ставшая жертвой серьезной кибератаки, принимает меры по повышению защищенности паролей своих пользователей. Одна из мер, анонсированная еще в начале мая, требовала от пользователей повторной настройки двухфакторной аутентификации для входа в учетную запись. Как сообщает издание Bleeping Computer, часть пользователей в результате полностью потеряли доступ к своим учеткам, причем для некоторых проблема не решена до сих пор. Как правило, с проблемами сталкиваются те, кто не увидел или проигнорировал сообщения в приложении или на электронной почте.
Протестированное устройство определенно входит в список эталонно незащищенных IoT-изделий: трудно найти в нем функцию, связанную с удаленным управлением, которая была бы нормально реализована. На фото приведен пример продукции данной компании, хотя конкретная модель в отчете не названа. Но функциональность у них примерно одна и та же: подключение к домашнему Wi-Fi, работа через Интернет, отправка на сервер видеороликов, записанных на встроенную видеокамеру. Для начала на кормушке был обнаружен работающий протокол telnet, позволяющий удаленное подключение с правами суперпользователя. Пароль root — фиксированный и хранится в прошивке устройства.
Следующая традиционная ошибка небезопасного IoT-устройства: коммуникация с сервером без шифрования. Это открывает возможность атак типа man-in-the-middle, в ходе которых можно полностью перехватить контроль над устройством. Для управления устройством с помощью голосовых команд используется инфраструктура сервиса Alexa, пароль для доступа к которому также один и тот же для всех устройств. Это, пожалуй, наиболее просто эксплуатируемая дыра в кормушках: можно авторизоваться на сервере Alexa под видом устройства и получить доступ к данным других пользователей. А если получится отправить на устройство видоизмененный ответ, представившись голосовым сервисом, то можно вызвать и отказ в обслуживании.
Небезопасно реализована и отправка видеороликов на сервер: по сути, происходит простая загрузка файлов с помощью команды curl в составе скрипта, содержащего фиксированные идентификаторы пользователя. Примечательно, что на стороне приложения взаимодействие с сервером реализовано корректнее, с использованием шифрования данных. Наконец, не составляет проблемы подменить данные в процессе обновления прошивки устройства. Взаимодействие с сервером обновлений, опять же, не защищено. В качестве «меры безопасности» используется доставка обновлений в виде запароленного архива, но сам пароль легко находится в прошивке. Это теоретически открывает возможность перманентного перехвата контроля над большим количеством устройств.
В отчете приводятся понятные рекомендации по нормальной защите устройств IoT. Шифрование данных и авторизация устройств на сервере с использованием уникальных ключей доступа. Обязательная верификация файлов обновлений. Защита самого устройства от методов анализа прошивки, или ее подмены, и так далее. Для (продвинутых) пользователей также есть очевидная рекомендация: если уж приходится иметь дело с незащищенными устройствами, есть смысл выделить их в отдельную Wi-Fi-сеть. Увы, довольно много IoT-устройств чрезвычайно плохо защищены. Совсем недавно мы писали, например, об умных дверных замках Akuvox с небезопасным доступом к встроенной видеокамере. Или о проблемах в умных розетках Belkin, хотя по сравнению с устройствами Dogness они не так уж плохи. Характерна и реакция производителя умных кормушек на сообщения об обнаруженных проблемах. Точнее, ее отсутствие после нескольких попыток выйти на связь.
Что еще произошло
Еще одна публикация «Лаборатории Касперского» в деталях описывает бэкдор, устанавливаемый на устройства под управлением iOS в рамках атаки «Операция Триангуляция». Имплант устанавливается после получения максимальных прав доступа на устройстве. Среди его возможностей — кража данных из хранилища паролей Keychain, отслеживание геолокации, загрузка произвольных файлов. Между тем в свежем апдейте iOS и iPadOS 16.5.1 закрыта активно эксплуатируемая уязвимость в ядре. Ее обнаружение атрибутировано специалистам «Лаборатории Касперского».
Компания Cyble обнаружила криптомайнер, распространяемый в составе модифицированного инсталлятора игры Super Mario 3: Mario Forever.
Компания Lastpass, в прошлом году ставшая жертвой серьезной кибератаки, принимает меры по повышению защищенности паролей своих пользователей. Одна из мер, анонсированная еще в начале мая, требовала от пользователей повторной настройки двухфакторной аутентификации для входа в учетную запись. Как сообщает издание Bleeping Computer, часть пользователей в результате полностью потеряли доступ к своим учеткам, причем для некоторых проблема не решена до сих пор. Как правило, с проблемами сталкиваются те, кто не увидел или проигнорировал сообщения в приложении или на электронной почте.