Kwetsbaarheden in toepassingen stellen IoT-apparaten bloot aan aanvallen

IoT-apparaten waren deze feestdagen weer populaire geschenken. IoT, een acroniem voor Internet of Things, is meer dan een modewoord. De trend vertegenwoordigt een enorme verschuiving in de manier waarop producten worden gemaakt en gebruikt, aangezien netwerkconnectiviteit wordt toegevoegd aan producten die voorheen niet bedoeld waren om deze functionaliteit te hebben.

Dus je koelkast die je een sms stuurt als de melk op is:IoT. Je thermostaat die gebruiksgrafieken op je telefoon geeft:ja, IoT. In principe wordt elk consumentenapparaat dat verbinding kan maken met een ander netwerk dan een computer, telefoon, tablet of router als een IoT-apparaat beschouwd, zegt Fleming Shi, CTO van BarracudaNetworks.

Beveiliging is echter een grote zorg geweest bij IoT-apparaten. Hoewel er verbeteringen zijn aangebracht, blijven er nieuwe soorten kwetsbaarheden bestaan. Zo hebben de teams van Barracuda Labs onlangs een IoT-beveiligingscamera gebruikt om een ​​nieuwe dreiging te illustreren:het compromitteren van IoT-referenties, waarbij kwetsbaarheden van web- en mobiele applicaties worden gebruikt om IoT-apparaten te compromitteren.

IoT-referentiecompromis

Aanvallers kunnen kwetsbaarheden in de webapplicaties en mobiele applicaties die door bepaalde IoT-apparaten worden gebruikt gebruiken om inloggegevens te verkrijgen, die vervolgens kunnen worden gebruikt om de videofeed te bekijken, alarmen in te stellen/ontvangen/verwijderen, opgeslagen videoclips uit cloudopslag te verwijderen en accountinformatie te lezen . Aanvallers kunnen de inloggegevens ook gebruiken om hun eigen firmware-update naar het apparaat te pushen, de functionaliteit ervan te wijzigen en het aangetaste apparaat te gebruiken om andere apparaten op hetzelfde netwerk aan te vallen.

De details

Om deze dreiging te illustreren, de Barracuda Het Labs-team heeft onlangs onderzoek gedaan naar een verbonden beveiligingscamera en heeft meerdere kwetsbaarheden geïdentificeerd in de web-app en het ecosysteem van de mobiele app van de camera:

• Mobiele app negeert geldigheid van servercertificaat
• Cross-site scripting (XSS) in de web-app
• Bestandsoverdracht in een cloudserver
• Gebruiker regelt apparaatupdatelink
• Apparaatupdates zijn niet ondertekend
• Apparaat negeert geldigheid van servercertificaat

Met behulp van deze kwetsbaarheden kon het team de volgende aanvallen uitvoeren om inloggegevens te verkrijgen en een IoT-apparaat te compromitteren, allemaal zonder een directe verbinding met het apparaat zelf.

Inloggegevens ophalen van de mobiele app

Als een aanvaller verkeer naar de mobiele app kan onderscheppen door een gecompromitteerd of vijandig netwerk te gebruiken, kan hij gemakkelijk het gebruikerswachtwoord verkrijgen. Zo werkt het:

1. Het slachtoffer maakt verbinding met een gecompromitteerd/vijandig netwerk met een mobiele telefoon.

2. De verbonden camera-app probeert via https verbinding te maken met de servers van de leverancier.

3. Het vijandige/gecompromitteerde netwerk leidt de verbinding naar de server van de aanvaller, die zijn eigen SSL-certificaat gebruikt en de communicatie naar de server van de leverancier stuurt.

4. De server van de aanvaller bevat nu een ongezouten MD5-hash van het gebruikerswachtwoord.

5. De aanvaller kan ook knoeien met de communicatie tussen de server van de leverancier en de app.

Inloggegevens ophalen van de web-app

Dit type aanval is afhankelijk van functionaliteit waarmee gebruikers apparaattoegang tot de aangesloten camera kunnen delen met andere gebruikers. Om een ​​apparaat te delen, moet de ontvanger een geldig account hebben bij de IoT-leverancier en moet de afzender de gebruikersnaam van de ontvanger weten, wat toevallig een e-mailadres is.

1. De aanvaller zal een XSS-exploit in een apparaatnaam insluiten en dat apparaat vervolgens delen met het slachtoffer.

2. Zodra het slachtoffer met de web-app inlogt op zijn account, zal de XSS-exploit het toegangstoken (dat als variabele in de web-app is opgeslagen) uitvoeren en delen met de aanvaller.

3. Met dat toegangstoken heeft de aanvaller toegang tot het account van het slachtoffer en al zijn geregistreerde apparaten.

Door dit onderzoek is het team van Barracuda Labs erin geslaagd een IoT-apparaat (verbonden camera) te compromitteren zonder enige directe verbinding met het apparaat zelf. Dit maakt het leven van aanvallers gemakkelijker. Niet meer scannen op Shodan  voor kwetsbare apparaten.

In plaats daarvan wordt de aanval uitgevoerd op de infrastructuur van de leverancier. Het is een bedreiging die ook andere typen IoT-apparaten kan treffen, ongeacht hun functie, omdat het profiteert van de manier waarop het apparaat met de cloud communiceert.

Bugs zijn immers niet inherent aan producten, maar aan processen, vaardigheden en bewustzijn van de ontwikkelaars. Toen de toegang en toegangscontrole voor IoT-apparaten verschoven naar cloudservices, namen ook de kwetsbaarheden toe, waardoor de soorten aanvallen mogelijk werden die door het Barracuda Labs-team werden ontdekt.

Lessen voor IoT-fabrikanten

Leveranciers die IoT-oplossingen maken, moeten alle aspecten van de applicaties die worden gebruikt om die apparaten uit te voeren, beschermen. IoT-apparaten zijn sensoren die in huizen, scholen en kantoren worden verspreid en zijn potentiële toegangspunten voor aanvallers. Het netwerk van elke klant is een opening naar de serverkern en naar andere klanten.

Een webapplicatie-firewall, een van de meest kritieke beveiligingen die IoT-leveranciers moeten installeren, is ontworpen om servers te beschermen tegen HTTP-verkeer op laag 7. Fabrikanten moeten ook de bescherming tegen netwerklaagaanvallen en phishing opvoeren.

Cloudbeveiliging is ook belangrijk en biedt zichtbaarheid, bescherming en herstel van IoT-applicaties en de infrastructuren waarop ze draaien. De kans op blootstelling aan zijwaartse bewegingen is groot en complex, dus het nemen van de juiste veiligheidsmaatregelen is essentieel.

Hoe u uzelf als consument kunt beschermen

Bij het kopen van een IoT-apparaat moeten consumenten naast gemak en prijs ook denken aan veiligheid. Hier zijn een paar tips om te overwegen:

• Onderzoek de fabrikant van het apparaat — Een paar bedrijven die IoT-apparaten produceren, begrijpen softwarebeveiliging. De meeste zijn ofwel bestaande bedrijven wiens expertise ligt in het maken van de fysieke producten die worden aangesloten of startups die apparaten zo snel mogelijk op de markt proberen te brengen. In beide gevallen worden goede software- en netwerkbeveiligingsmaatregelen vaak over het hoofd gezien.
• Zoek naar bestaande kwetsbaarheden in de andere apparaten van een leverancier  — Als een apparaat een kwetsbaarheid heeft, is het waarschijnlijk dat andere apparaten met vergelijkbare functies van hetzelfde bedrijf ook kwetsbaar zijn. Uiteindelijk zal een leverancier met een geschiedenis van veilige apparaten in de toekomst waarschijnlijk veilige apparaten bouwen.
• Reacties op eerdere kwetsbaarheden evalueren  — Als een leverancier reageert op mensen die een kwetsbaarheid melden en deze snel oplost met een firmware-update, is dat een goed voorteken voor hun kijk op beveiliging en toekomstige producten die ze maken.

Helaas is de hoeveelheid informatie die beschikbaar is over de beveiligingshouding van IoT-apparaten verbazingwekkend laag. Idealiter hebben we een wereld nodig waarin IoT-producten allemaal een veiligheidsscore krijgen, net als auto's. Consumenten moeten worden geïnformeerd voordat ze in IoT-apparaten investeren.

De auteur van deze blog is Fleming Shi, CTO van Barracuda Networks