Rinkoje pirmaujantis garažo vartų valdymo blokas yra apimtas tokių rimtų saugumo ir privatumo spragų, kad jį aptikęs tyrėjas pataria visiems jį naudojantiems nedelsiant jį atjungti, kol bus galima jį pataisyti.
Kiekvienas 80 USD kainuojantis įrenginys, skirtas atidaryti ir uždaryti garažo duris, valdyti namų apsaugos signalizaciją ir išmaniuosius maitinimo kištukus, naudoja tą patį lengvai randamą bendrąjį slaptažodį, kad galėtų susisiekti su „Nexx“ serveriais. Valdikliai taip pat kiekvienam išsiunčia nešifruotą el. pašto adresą, įrenginio ID ir atitinkamą vardą bei pavardę kartu su pranešimu, reikalingu norint atidaryti arba uždaryti duris, įjungti arba išjungti išmanųjį kištuką arba suplanuoti tokią komandą vėlesniam laikui. laikas.
Nedelsdami atjunkite visus „Nexx“ įrenginius
Rezultatas: kiekvienas, turintis vidutinį techninį išsilavinimą, gali Nexx serveriuose ieškoti el. pašto adreso, įrenginio ID arba pavadinimo ir duoti komandas susijusiai konsolei. (Nexx valdikliai, skirti namų apsaugos signalizacijai, yra pažeidžiami panašios klasės pažeidžiamumų.) Komandos leidžia atidaryti duris, išjungti įrenginį, prijungtą prie išmaniojo kištuko, arba išjungti signalizaciją. Dar blogiau, kad per pastaruosius tris mėnesius Teksase įsikūrę „Nexx“ darbuotojai neatsakė į kelis asmeninius pranešimus, įspėjančius apie pažeidžiamumą.
Parašė tyrėjas, kuris aptiko pažeidžiamumą Paskutinį kartą paskelbta antradienį. „Įrenginių savininkai turėtų nedelsdami atjungti visus „Nexx“ įrenginius ir sukurti palaikymo bilietus su įmone, prašydami išspręsti problemą.
Tyrėjas apskaičiavo, kad buvo paveikta daugiau nei 40 000 įrenginių, esančių gyvenamuosiuose ir komerciniuose objektuose, ir daugiau nei 20 000 asmenų turi aktyvias „Nexx“ paskyras.
„Nexx“ valdikliai leidžia žmonėms naudotis savo telefonais arba balso asistentais, norėdami atidaryti ir uždaryti garažo vartus pagal poreikį arba tam tikru paros metu. Prietaisais taip pat galima valdyti namų apsaugos signalizaciją ir išmaniuosius kištukus, naudojamus nuotoliniu būdu įjungti arba išjungti prietaisus. Pagrindinis šios sistemos elementas yra „Nexx“ valdomi serveriai, su kuriais bendrauja ir telefono ar balso asistentas, ir garažo durų atidarytuvas. Penkių etapų naujo įrenginio registravimo procesas atrodo taip:
- Naudotojas naudoja Nexx Home mobiliąją programėlę, kad užregistruotų naują Nexx įrenginį Nexx Cloud.
- Užkulisiuose „Nexx Cloud“ grąžina įrenginio slaptažodį, skirtą saugiam ryšiui su „Nexx Cloud“.
- Slaptažodis siunčiamas į vartotojo telefoną ir siunčiamas į Nexx įrenginį naudojant Bluetooth arba Wi-Fi.
- Nexx įrenginys užmezga atskirą ryšį su Nexx Cloud naudodamas pateiktą slaptažodį.
- Dabar vartotojas gali valdyti garažo vartus nuotoliniu būdu, naudodamas Nexx Mobile App.
Čia yra proceso paaiškinimas:
Bendras slaptažodis, kurį lengva rasti
Norėdami atlikti visą šį darbą, konsolės naudoja lengvą protokolą, žinomą kaip MQTT. „Message Queuing Remoting“ trumpinys, jis naudojamas mažo pralaidumo, didelės delsos ar kitaip nestabiliuose tinkluose, siekiant skatinti efektyvų ir patikimą ryšį tarp įrenginių ir debesies paslaugų. Norėdami tai padaryti, Nexx naudoja a Pašto prenumeratos formakur vienas pranešimas siunčiamas tarp bendrinamų įrenginių (telefono, balso asistento, garažo durų atidarytuvo) ir centrinės laikmenos (Nexx debesies).
Tyrėjas Samas Sabetanas nustatė, kad įrenginiai naudoja tą patį slaptažodį bendraudami su Nexx debesiu. Be to, šį slaptažodį galima lengvai pasiekti tiesiog išanalizavus su įrenginiu pateiktą programinę-aparatinę įrangą arba tiesioginį ryšį tarp įrenginio ir Nexx debesies.
„Bendro slaptažodžio naudojimas visiems įrenginiams yra didelis saugumo spragas, nes neteisėti vartotojai, gavę bendrą slaptažodį, gali pasiekti visą ekosistemą“, – rašė mokslininkas. „Tai darydami jie gali pakenkti ne tik „Nexx“ klientų privatumui, bet ir saugumui, valdydami savo garažo vartus be jų sutikimo.
Kai Sabetanas naudojo šį slaptažodį norėdamas pasiekti serverį, jis greitai rado ne tik ryšius tarp savo kompiuterio ir debesies, bet ir su kitais Nexx įrenginiais bei debesimi. Tai reiškia, kad jis gali peržiūrėti kitų vartotojų el. pašto adresus, pavardes, pirmuosius inicialus ir įrenginio identifikatorius, kad nustatytų klientus pagal unikalią tuose pranešimuose bendrinamą informaciją.
Tačiau reikalai blogėja. „Sabetan“ gali nukopijuoti kitų vartotojų išsiųstus pranešimus, kad atidarytų duris ir pakartotų juos iš bet kurios pasaulio vietos. Tai reiškia, kad norint valdyti bet kurį Nexx įrenginį, nesvarbu, kur jis yra, pakako paprasto iškirpimo ir įklijavimo operacijos.
Čia yra koncepcijos įrodymo vaizdo įrašas, kuriame rodomas įsilaužimas:
Šis įvykis primena seniai nuvalkiotą klišę, kad S IoT – trumpas terminas „Internet of Things“ – reiškia saugumą. Nors daugelis daiktų interneto įrenginių siūlo patogumą, nerimą keliantis skaičius yra sukurtas naudojant minimalias apsaugos priemones. Būdinga pasenusi programinė įranga su žinomais pažeidžiamumais ir nesugebėjimas atnaujinti, taip pat daugybė trūkumų, pvz., užšifruoti kredencialai, autorizavimo apėjimas ir klaidingi autentifikavimo patikrinimai.
Visi, naudojantys Nexx įrenginį, turėtų rimtai apsvarstyti galimybę jį išjungti ir pakeisti kitu, nors šio patarimo naudingumas yra ribotas, nes nėra garantijos, kad alternatyvos bus saugesnės.
Kadangi kyla pavojus tiek daug įrenginių, JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra išleido a Patarėjas Ji siūlo vartotojams imtis gynybinių veiksmų, įskaitant:
- Sumažinkite tinklo poveikį visiems valdymo sistemos įrenginiams ir (arba) sistemoms ir įsitikinkite, kad jie yra Jo negalima pasiekti iš interneto.
- Valdymo sistemos tinklų ir nuotolinių įrenginių lokalizavimas už ugniasienės ir jų izoliavimas nuo verslo tinklų.
- Kai reikalinga nuotolinė prieiga, naudokite saugius metodus, pvz., virtualius privačius tinklus (VPN), kad nustatytumėte, kuriuose VPN gali būti pažeidžiamumų ir kurie turi būti atnaujinti į naujausią turimą versiją. Taip pat žinokite, kad VPN yra toks pat saugus, kaip ir jo prijungti įrenginiai.
Žinoma, neįmanoma įdiegti šių procedūrų naudojant „Nexx“ pultus, o tai sugrąžina mus prie bendro daiktų interneto nesaugumo ir „Sabetan“ patarimo paprasčiausiai atsisakyti produkto, nebent bus pataisyta arba kol jis nepasieks.
„Organizatorius. Rašytojas. Blogio kavos vėpla. Bendras maisto evangelistas. Visą gyvenimą alaus gerbėjas. Verslininkas.”