Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

¡Advertencia del gobierno de los Estados Unidos! ¿Qué pasaría si alguien pudiera abrir la puerta de su garaje?

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 119
by Paul patito

El investigador de seguridad cibernética Sam Sabetan ayer hizo pública su revelaciones de inseguridad contra el proveedor de IoT Nexx, que vende una gama de dispositivos "inteligentes" que incluyen abridores de puertas, alarmas para el hogar y enchufes de alimentación conmutables de forma remota.

Según Sabetan, informó los errores a Nexx en enero de 2023, pero fue en vano.

Así que decidió hacer sonar la alarma abiertamente, ahora es abril de 2023.

La advertencia fue considerada lo suficientemente seria por los poderes fácticos como para que incluso el nombre rotundo aunque repetitivo Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.o CISA, publicó un asesoramiento formal sobre los defectos.

Sabetan deliberadamente no publicó detalles precisos de los errores, ni proporcionó ningún código de prueba de concepto que permitiera a cualquier persona comenzar a hackear dispositivos Nexx sin saber lo que estaba haciendo.

Pero a partir de un breve video editado por privacidad proporcionado por Sabetan para probar su punto, y los detalles del error enumerados por CVE enumerados por CISA, es bastante fácil averiguar cómo es probable que los defectos se programaran en los dispositivos de Nexx.

Más precisamente, tal vez, es fácil ver lo que no se programó en el sistema de Nexx, dejando así la puerta abierta para los atacantes.

No se requiere contraseña

Cinco números CVE han sido asigna a los errores (CVE-2023-1748 a CVE-2023-1752 inclusive), que cubren una serie de omisiones de ciberseguridad, aparentemente incluyendo los siguientes tres errores de seguridad interconectados:

  • Credenciales codificadas. Un código de acceso que se puede recuperar del firmware de Nexx permite a un atacante husmear en los propios servidores en la nube de Nexx y recuperar mensajes de comando y control entre los usuarios y sus dispositivos. Esto incluye los llamados identificador de dispositivo – una cadena única asignada a cada dispositivo. Aparentemente, los datos del mensaje también incluyen la dirección de correo electrónico del usuario y el nombre y la inicial utilizados para registrar el dispositivo, por lo que aquí también hay un pequeño pero importante problema de privacidad.
  • Autenticación de factor cero. Aunque las identificaciones de dispositivos no están destinadas a anunciarse públicamente de la misma manera que, por ejemplo, las direcciones de correo electrónico o los identificadores de Twitter, no están destinadas a servir como tokens de autenticación o contraseñas. Pero los atacantes que conocen la identificación de su dispositivo pueden usarla para controlar ese dispositivo, sin proporcionar ningún tipo de contraseña o evidencia criptográfica adicional de que están autorizados para acceder a él.
  • Sin protección contra ataques de repetición. Una vez que sepa cómo se ve un mensaje de comando y control para su propio dispositivo (o el de otra persona), puede usar los mismos datos para repetir la solicitud. Si puede abrir la puerta de mi garaje, apagar mi alarma o apagar y encender mis enchufes "inteligentes" hoy, entonces parece que ya tiene todos los datos de red que necesita para hacer lo mismo una y otra vez, un poco como esos viejos e inseguros mandos infrarrojos para coche que podías grabar y reproducir a voluntad.

Mira, escucha y aprende

Sabetan usó las credenciales de acceso por cable del firmware de Nexx para monitorear el tráfico de la red en el sistema en la nube de Nexx mientras operaba su propia puerta de garaje:

Eso es bastante razonable, a pesar de que las credenciales de acceso enterradas en el firmware no se publicaron oficialmente, dado que su intención parece haber sido determinar qué tan bien protegidos (y qué tan conscientes de la privacidad) estaban los intercambios de datos entre la aplicación en su teléfono. y Nexx, y entre Nexx y la puerta de su garaje.

Así fue como pronto descubrió que:

  • El servicio de “corredor” en la nube incluía datos en su tráfico que no eran necesarios al negocio de abrir y cerrar la puerta, como direcciones de correo electrónico, apellidos e iniciales.
  • El tráfico de solicitudes podría reproducirse directamente en el servicio en la nube, y repetiría la misma acción que hizo antes, como abrir o cerrar la puerta.
  • Los datos de la red revelaron el tráfico de otros usuarios que estaban interactuando con sus dispositivos al mismo tiempo, sugiriendo que todos los dispositivos siempre usaban la misma clave de acceso para todo su tráfico y, por lo tanto, cualquiera podía espiar a todos.

Tenga en cuenta que un atacante no necesitaría saber dónde vive para abusar de estas inseguridades, aunque si pudiera vincular su dirección de correo electrónico a su dirección física, podría estar presente en el momento en que abrió la puerta de su garaje, o podría esperar. para apagar la alarma hasta que estuvieran justo en la entrada de su casa y, por lo tanto, aprovechar la oportunidad para robar en su propiedad.

Los atacantes podrían abrir la puerta de su garaje sin saber ni preocuparse por dónde vive y, por lo tanto, exponerlo a ladrones oportunistas en su área... solo "por el lulz", por así decirlo.

¿Qué hacer?

  • Si tiene un producto “inteligente” de Nexx, comuníquese directamente con la empresa para obtener asesoramiento sobre lo que planea hacer a continuación y cuándo.
  • Opere sus dispositivos directamente, no a través de la aplicación basada en la nube de Nexx, hasta que los parches estén disponibles. suponiendo que eso sea posible para los dispositivos que posee. De esa manera, evitará el intercambio de datos de comando y control rastreables con los servidores en la nube de Nexx.
  • Si eres programador, no tomes atajos de seguridad como este. Las contraseñas codificadas o los códigos de acceso eran inaceptables allá por 1993, y son mucho más inaceptables ahora que estamos en 2023. Aprenda a usar la criptografía de clave pública para autenticar cada dispositivo de manera única y aprenda a usar claves de sesión efímeras (desechables) para que que los datos en cada interacción de comando y control son independientes en términos criptográficos.
  • Si es un proveedor, no ignore los intentos de buena fe de los investigadores de informarle sobre los problemas. Por lo que podemos ver en este caso, Sabetan investigó legalmente el código de la empresa y determinó su preparación de seguridad porque era un cliente. Al encontrar las fallas, intentó alertar al vendedor para que se ayudara a sí mismo, ayudara al vendedor y ayudara a todos los demás.

A nadie le gusta ser confrontado con acusaciones de que su código de programación no estaba a la altura de la seguridad cibernética, o que su código de servidor back-end contenía errores peligrosos...

…pero cuando la evidencia proviene de alguien que te lo dice por tu propio bien y que está dispuesto a darte un tiempo claro para solucionar los problemas antes de hacerlo público, ¿por qué rechazar la oportunidad?

Después de todo, los ladrones dedican el mismo tipo de esfuerzo a encontrar errores como este, y luego no se lo cuentan a nadie excepto a ellos mismos oa otros ladrones.

Al ignorar a los investigadores y clientes legítimos que voluntariamente intentan advertirle sobre los problemas, simplemente les está haciendo el juego a los ciberdelincuentes que encuentran errores y no dicen ni una palabra sobre ellos.

Como dice el viejo chiste, “La 'S' en IoT significa seguridad”, y esa es una situación lamentable y completamente evitable que necesitamos cambiar urgentemente.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.