Исследование Barracuda Networks: уязвимости приложений IoT делают устройства открытыми для атак

В этот праздничный сезон устройства IoТ снова стали популярными подарками. IoT - это не просто модное слово, а сокращение от Internet of Things. Тенденция представляет собой огромный сдвиг в том, как производятся и используются продукты, так как сетевое подключение добавляется к продуктам, которые ранее не предназначались для этой функции. Итак, ваш холодильник, который отправляет вам текстовое сообщение, когда у вас заканчивается молоко: IoT. Ваш термостат, который предоставляет графики использования на вашем телефоне: да, это тот же IoT. По сути, любое потребительское устройство, способное подключаться к сети, отличной от компьютера, телефона, планшета или маршрутизатора, считается устройством IoT.

Тем не менее, безопасность была большой проблемой для устройств IoT. Хотя улучшения были сделаны, новые типы уязвимостей остаются. Например, команды Barracuda Labs недавно использовали камеру безопасности IoT, чтобы помочь проиллюстрировать новую угрозу: компрометацию учетных данных IoT, которая использует уязвимости веб-приложений и мобильных приложений для компрометации устройств IoT.

Выделенная угроза: компрометация учетных данных IoT

Злоумышленники могут использовать уязвимости в веб-приложениях и мобильных приложениях, используемых определенными устройствами IoT, для получения учетных данных, которые затем можно использовать для просмотра видеопотока, установки / получения / удаления сигналов тревоги, удаления сохраненных видеоклипов из облачного хранилища и т.п. Злоумышленники могут также использовать учетные данные, чтобы отправить собственное обновление прошивки на устройство, изменив его функциональность и используя взломанное устройство для атаки на другие устройства в той же сети.

Детали:

Чтобы проиллюстрировать эту угрозу, команда Barracuda Labs недавно провела исследование подключенной камеры безопасности и определила многочисленные уязвимости в веб-приложении камеры и экосистеме мобильных приложений:

• Мобильное приложение игнорирует действительность сертификата сервера
• Межсайтовый скриптинг (XSS) в веб-приложении
• Обратный путь в облачном сервере
• Пользователь контролирует ссылку на обновление устройства
• Обновления устройства не подписаны
• Устройство игнорирует срок действия сертификата сервера

Используя эти уязвимости, команда смогла выполнить следующие атаки для получения учетных данных и взлома устройства IoT, причем все это без непосредственного подключения к самому устройству.

Получение учетных данных из мобильного приложения

Если злоумышленник может перехватить трафик мобильного приложения с помощью скомпрометированной или враждебной сети, он может легко получить пароль пользователя. Вот как это работает:

• Жертва подключается к скомпрометированной / враждебной сети с помощью мобильного телефона.
• Подключенное приложение камеры попытается подключиться к серверам поставщика по протоколу https.
• Враждебная / взломанная сеть направит соединение к серверу злоумышленника, который будет использовать свой собственный сертификат SSL и прокси-соединение для связи с сервером поставщика.
• Сервер злоумышленника теперь содержит хэш MD5 пароля пользователя.
• Злоумышленник может также изменить связь между сервером поставщика и приложением.

Получение учетных данных из веб-приложения

Этот тип атаки основывается на функциональности, которая позволяет пользователям совместно использовать доступ устройства к подключенной камере с другими пользователями. Для совместного использования устройства у получателя должна быть действительная учетная запись с поставщиком IoT, а отправителю необходимо знать имя пользователя получателя, которое является адресом электронной почты.

Злоумышленник вставит XSS-эксплойт в имя устройства и затем поделится этим устройством с жертвой.После того, как жертва войдет в свою учетную запись с помощью веб-приложения, XSS-эксплойт выполнит и передаст злоумышленнику токен доступа (который хранится в виде переменной в веб-приложении). С этим токеном доступа злоумышленник может получить доступ к учетной записи жертвы и всем ее зарегистрированным устройствам.Благодаря этому исследованию команде Barracuda Labs удалось скомпрометировать устройство IoT (подключенную камеру) без какого-либо прямого подключения к самому устройству. Это облегчает жизнь злоумышленникам. Нет больше сканирования на Shodan для уязвимых устройств. Вместо этого атака будет осуществляться против инфраструктуры поставщика. Это угроза, которая может повлиять и на другие типы устройств IoT, независимо от их функции, поскольку она использует способ взаимодействия устройства с облаком.

В конце концов, ошибки связаны не с продуктами, а с процессами, навыками и осведомленностью разработчиков. По мере того, как контроль доступа для устройств IoT перешел на облачные сервисы, уязвимости также изменились, сделав возможными типы атак, обнаруженные командой Barracuda Labs.

Уроки для производителей IoT

Поставщики, создающие решения IoT, должны защищать все аспекты приложений, используемых для запуска этих устройств. Устройства IoT - это датчики, распространяемые в домах, школах и офисах, и они являются потенциальными точками входа для злоумышленников. Сеть каждого клиента - это доступ к ядру сервера и другим клиентам.

Брандмауэр веб-приложений, одна из важнейших мер защиты, которые необходимо установить поставщикам IoT, он предназначен для защиты серверов от HTTP-трафика на уровне 7. Производителям также необходимо усилить защиту от атак на уровне сети и фишинга.

Облачная безопасность также важна, обеспечивая видимость, защиту и исправление приложений IoT и инфраструктур, на которых они работают. Потенциал воздействия бокового движения велик и сложен, поэтому принятие надлежащих мер безопасности является ключевым.

Как защитить себя как потребителя

Покупая устройство IoT, потребители должны думать о безопасности, а также об удобстве и цене. Вот несколько советов для рассмотрения:

• Исследуйте производителя устройств. Некоторые компании, которые производят устройства IoT, понимают безопасность программного обеспечения. Большинство из них - либо существующие компании, чей опыт заключается в создании подключаемых физических продуктов, либо стартапы, пытающиеся вывести устройства на рынок как можно быстрее. В обоих случаях правильное программное обеспечение и меры безопасности сети часто упускаются из виду.
• Ищите существующие уязвимости в других устройствах поставщика. Если одно устройство имеет уязвимость, вероятно, другие устройства с аналогичными функциями той же компании также уязвимы. В конечном счете, поставщик, имеющий историю защищенных устройств, вероятно, будет создавать защищенные устройства в будущем.
• Оценивайте принятые меры на прошлые уязвимости. Если поставщик реагирует на людей, сообщающих об уязвимости, и быстро устраняет их с помощью обновления встроенного программного обеспечения, это показывает их взгляды на безопасность и будущие продукты, которые он выпускает.

К сожалению, объем доступной информации о состоянии безопасности устройств IoT поразительно низок. В идеале нам нужно создать мир, в котором все продукты IoT оцениваются по уровню безопасности, как и автомобили. Потребители должны быть проинформированы, прежде чем они будут инвестировать в устройства IoT.