Уязвимости приложений делают устройства IoT открытыми для атак

В этот праздничный сезон устройства IoT снова стали популярными подарками. Аббревиатура «Интернет вещей», IoT - больше, чем модное слово. Эта тенденция представляет собой огромный сдвиг в том, как продукты производятся и используются, поскольку сетевое подключение добавляется к продуктам, которые ранее не предназначались для этой функции.

Итак, ваш холодильник, который отправляет вам текстовое сообщение, когда у вас кончилось молоко:IoT. Ваш термостат, который отображает графики использования на вашем телефоне:да, IoT. По сути, любое потребительское устройство, которое может подключаться к сети, кроме компьютера, телефона, планшета или маршрутизатора, считается устройством Интернета вещей, говорит Флеминг Ши, технический директор Barracuda Networks.

Однако безопасность является большой проблемой для устройств IoT. Несмотря на внесенные улучшения, остаются новые типы уязвимостей. Например, группы Barracuda Labs недавно использовали камеру безопасности IoT, чтобы продемонстрировать новую угрозу:компрометацию учетных данных IoT, которая использует уязвимости веб-приложений и мобильных приложений для компрометации устройств IoT.

Взлом учетных данных Интернета вещей

Злоумышленники могут использовать уязвимости в веб-приложениях и мобильных приложениях, используемых некоторыми устройствами Интернета вещей, для получения учетных данных, которые затем можно использовать для просмотра видеопотока, установки / получения / удаления сигналов тревоги, удаления сохраненных видеоклипов из облачного хранилища и чтения информации учетной записи. . Злоумышленники также могут использовать учетные данные для отправки своего собственного обновления прошивки на устройство, изменяя его функциональность и используя взломанное устройство для атаки на другие устройства в той же сети.

Подробности

Чтобы проиллюстрировать эту угрозу, Barracuda Команда Labs недавно провела исследование подключенной камеры видеонаблюдения и выявила несколько уязвимостей в веб-приложении камеры и экосистеме мобильных приложений:

• Мобильное приложение игнорирует срок действия сертификата сервера
• Межсайтовый скриптинг (XSS) в веб-приложении
• Обход файлов на облачном сервере
• Ссылка на обновление устройства для управления пользователем
• Обновления устройства не подписаны.
• Устройство игнорирует срок действия сертификата сервера.

Используя эти уязвимости, команда смогла выполнить следующие атаки для получения учетных данных и взлома устройства IoT, и все это без прямого подключения к самому устройству.

Получение учетных данных из мобильного приложения

Если злоумышленник может перехватить трафик мобильного приложения с помощью взломанной или враждебной сети, он может легко получить пароль пользователя. Вот как это работает:

1. Жертва подключается к взломанной / враждебной сети с помощью мобильного телефона.

2. Приложение подключенной камеры попытается подключиться к серверам поставщика через https.

3. Враждебная / взломанная сеть направит соединение на сервер злоумышленника, который будет использовать свой собственный сертификат SSL и прокси-сервер для связи с сервером поставщика.

4. На сервере злоумышленника теперь хранится несоленый хэш MD5 пароля пользователя.

5. Злоумышленник также может нарушить связь между сервером поставщика и приложением.

Получение учетных данных из веб-приложения

Этот тип атаки основан на функциональности, которая позволяет пользователям делиться доступом к подключенной камере с другими пользователями. Для совместного использования устройства у получателя должна быть действующая учетная запись у поставщика Интернета вещей, а отправитель должен знать имя пользователя получателя, которое оказывается адресом электронной почты.

1. Злоумышленник встроит эксплойт XSS в имя устройства, а затем поделится этим устройством с жертвой.

2. После того, как жертва войдет в свою учетную запись с помощью веб-приложения, XSS-эксплойт выполнит и предоставит злоумышленнику токен доступа (который хранится в виде переменной в веб-приложении).

3. С помощью этого токена доступа злоумышленник может получить доступ к учетной записи жертвы и всем ее зарегистрированным устройствам.

Благодаря этому исследованию команде Barracuda Labs удалось взломать IoT-устройство (подключенную камеру) без прямого подключения к самому устройству. Это облегчает жизнь злоумышленникам. Больше никакого сканирования на Shodan для уязвимых устройств.

Вместо этого атака будет направлена ​​на инфраструктуру поставщика. Это угроза, которая может затронуть и другие типы устройств Интернета вещей, независимо от их функции, поскольку она использует способ взаимодействия устройства с облаком.

В конце концов, ошибки связаны не с продуктами, а с процессами, навыками и осведомленностью разработчиков. По мере перехода к облачным службам контроля доступа и управления доступом для устройств IoT изменились и уязвимости, что сделало возможными типы атак, обнаруженные командой Barracuda Labs.

Уроки для производителей Интернета вещей

Поставщики, создающие решения IoT, должны защищать все аспекты приложений, используемых для запуска этих устройств. Устройства Интернета вещей - это датчики, расположенные в домах, школах и офисах, и они являются потенциальными точками входа для злоумышленников. Сеть каждого клиента - это путь к ядру сервера и другим клиентам.

Брандмауэр веб-приложений, один из наиболее важных средств защиты, которые необходимо установить поставщикам Интернета вещей, предназначен для защиты серверов от HTTP-трафика на уровне 7. Производителям также необходимо усилить защиту от атак сетевого уровня и фишинга.

Облачная безопасность также важна, поскольку она обеспечивает видимость, защиту и исправление приложений IoT и инфраструктур, на которых они работают. Потенциал бокового смещения велик и сложен, поэтому принятие надлежащих мер безопасности является ключевым моментом.

Как защитить себя как потребителя

Покупая устройство Интернета вещей, потребители должны думать не только об удобстве и цене, но и о безопасности. Вот несколько советов, которые следует учитывать:

• Узнайте о производителе устройства - Несколько компаний, производящих устройства Интернета вещей, разбираются в безопасности программного обеспечения. Большинство из них - это либо существующие компании, специализирующиеся на производстве подключаемых физических продуктов, либо стартапы, пытающиеся вывести устройства на рынок как можно быстрее. В обоих случаях часто упускается из виду надлежащее программное обеспечение и меры сетевой безопасности.
• Ищите существующие уязвимости в других устройствах поставщика - Если в одном устройстве есть уязвимость, вероятно, уязвимы и другие устройства той же компании с аналогичными функциями. В конечном итоге поставщик, у которого есть история безопасных устройств, скорее всего, будет создавать безопасные устройства в будущем.
• Оценить ответы на прошлые уязвимости - Если поставщик реагирует на людей, сообщающих об уязвимости, и быстро устраняет ее с помощью обновления прошивки, это служит хорошим предзнаменованием для их взглядов на безопасность и будущие продукты, которые они производят.

К сожалению, количество доступной информации о состоянии безопасности IoT-устройств удивительно мало. В идеале нам нужно создать мир, в котором все продукты Интернета вещей будут оцениваться по шкале безопасности, как и автомобили. Потребители должны быть проинформированы, прежде чем вкладывать средства в устройства Интернета вещей.

Автор этого блога - Флеминг Ши, технический директор Barracuda Networks