Securitate — January 9, 2020 at 8:57 am

Dispozitivele IoT cele mai populare au o serie de probleme de securitate

by

Sezonul sărbătorilor de iarnă a dus la o explozie a vânzărilor de dispozitive IoT consumer, în timp ce experții au profitat de ocazie să caute și să descopere o serie de probleme de securitate cu acestea. Printre produsele vulnerabile la atac sunt KeyWe Smart Lock, priza de la Belkin WeMo Insight Switch, camerele de securitate pentru casă Blink XT2 de la Amazon și un număr alarmant de jucării pentru copii.

man-in-santa-claus-costume-716658Un consultant de securitate la F-Secure, care a dezvoltat hack-ul KeyWe, a declarat că i-a fost ușor să ocolească mecanismele de protecție ale produsului pentru a intercepta parola de deblocare care trece între acesta și aplicația sa de însoțitor pentru smartphone și multe alte vulnerabilități ce sunt relativ simple pentru a deschide calea unui atacator. Produsul KeyWe conține, de asemenea, o vulnerabilitate destul de gravă, prin faptul că nu poate primi actualizări de firmware, astfel încât defectul original nu poate fi rezolvat. Aceasta înseamnă că persoanele care au cumpărat-o ar trebui fie să o înlocuiască, fie să se obișnuiască cu riscul.

Între timp, cercetătorii de la BitDefender au descoperit două vulnerabilități în Belkin WeMo Insight Switch, care au fost remediate între timp. Acest produs conectează aparate și dispozitive electronice la o rețea Wi-Fi internă, permițând utilizatorului să le activeze sau să dezactiveze, să programeze notificări personalizate, să stabilească reguli și permisiuni de utilizare de către copii și să monitorizeze consumul de energie electrică, toate din confortul smartphone-urilor lor .

Cu toate acestea, în esență, le-a oferit hackerilor o ușă deschisă în rețeaua de acasă, mai ales că în general, dispozitivele IoT nu sunt verificate de produsele anti-malware convenționale. Deoarece dispozitivul comunică prin HTTP și nu este necesară autentificarea, orice dispozitiv din rețea poate trimite comenzi sau interoga mufa pentru informații. Echipa a găsit o vulnerabilitate de reîncărcare a bufferului bazată, care, combinată cu lipsa autentificării, ar putea permite unui atacator din rețeaua Wi-Fi să obțină execuția codului pe dispozitivul țintă. Mai mult, având în vedere accesul fizic la echipament, un atacator poate obține acces root la sistemul său de fișiere, întrerupând procesul de pornire și modificând parametrii de boot pentru a-și suprascrie parola root.

În sistemele de camere de securitate Blink XT2 ale Amazon, cercetătorii Tenable au descoperit un număr de șapte vulnerabilități severe care ar putea oferi atacatorilor un control deplin al dispozitivului, permițându-le să vizualizeze imagini ale camerei, să asculte audio și să coopteze dispozitivul într-un botnet IoT folosit pentru a efectua atacuri distribuite de tip DDoS sau campanii de spam.

Cea mai gravă vulnerabilitate detectată a fost o eroare  a comenzii care rezultă din actualizarea modulului de sincronizare în punctele finale de comunicare în cloud utilizate pentru a transmite actualizări la dispozitive sau pentru a obține de informații din rețea.

În conformitate cu bunele practici, defectele au fost remediate, dar cu peste 50 de milioane de camere de luat vederi inteligente (de la diverse mărci) vândute doar în 2018, vor exista în mod inevitabil mai multe dispozitive neasigurate. Pentru proprietarii Blink XT2, este ca dispozitivele să fie actualizate la versiunea 2.13.11 sau mai recentă a firmware-ului.

În contextul în care dispozitivele IoT au ajuns deja în numere importante în fiecare casă și buzunar, se deschide o provocare dată de riscul ca acestea să devină arme periculoase împotriva celor ce le utilizează, prin accesarea unor informații sensibile, de genul momentelor când nu este nimeni acasa sau a unor informații financiere sensibile, ce pot duce la pierderea rapidă a banilor din conturi, sau chiar mai grav, a unor bunuri. Implementarea accentuată a conceptului security by design trebuie să fie în primul rând al prototipării acestor dispozitive.