Угрозы умных устройств

Думаю, многие помнят байку из 2010-ых, когда злоумышленники скомпрометировали сеть одного американского казино через термометр в аквариуме в лобби. Благодаря слабой защите «умного» датчика хакеры получили доступ к внутренней сети и скачали данные о наиболее состоятельных клиентах. Однако подобные истории – не редкость и на сегодняшний день. Я собрала для вас самые любопытные случаи, чтобы предостеречь от базовых ошибок, которые совершают пользователи “Умных домов”.

Для начала дам небольшое техническое погружение в проблему.

MQTT (Message Queuing Telemetry Transport) — это облегченный протокол обмена сообщениями, построенный на принципах издатель/подписчик. Он широко применяется в интернете вещей (IoT) и системах автоматизации, включая решения для «умного дома», В архитектуре MQTT центральным элементом является брокер, который выступает в роли хаб-узла для всего обмена данными. Устройства (клиенты) публикуют сообщения на определенные темы или подписываются на них, чтобы получать соответствующую информацию. Например, благодаря брокеру умный чайник присылает вам сообщение о закипании воды, а датчик двери — об ее открытии.

Критический риск безопасности возникает в случаях, когда MQTT-брокер не защищен механизмами аутентификации. Открытый брокер позволяет любому стороннему лицу не только пассивно отслеживать передаваемые данные (включая конфиденциальную информацию о состоянии дома), но и самостоятельно публиковать команды, получая тем самым прямой контроль над подключенными устройствами. Найти такие устройства тоже не представляет проблемы с помощью поисковой системы Shodan.

Shodan представляет собой специализированную поисковую систему, которая индексирует информацию об интернет-устройствах (веб-камерах, маршрутизаторах, серверах, IoT-платформах), делая ее доступной для поиска. Для выявления MQTT-брокеров с отсутствующей аутентификацией можно использовать целевой поисковый запрос. Рассмотрим его структуру на примере:

Рассмотрим практический кейс.

Допустим в результате выполнения запроса (см. выше) был идентифицирован IP-адрес 46.174.120.169, принадлежащий системе “Умного дома”. Анализ данных Shodan выявил следующую конфигурацию:

Данная конфигурация демонстрирует прямую угрозу безопасности. Открытый MQTT-брокер на порту 1883 является точкой входа, через которую злоумышленник может получить несанкционированный контроль над всей экосистемой умного дома, управляя через Zigbee2MQTT подключенными датчиками, замками, осветительными приборами и другими устройствами без необходимости взлома веб-интерфейса Home Assistant.

Выше был разобран протокол MQTT вкупе с Zigbee, и это не единственная уязвимость последнего. Исследователи обнаружили уязвимости в реализации протокола ZigBee, на базе которого разработаны умные лампы Яндекса. Справедливости ради, этот протокол используется и другими известными производителями – Philips Hue, Amazon Echo, Samsung SmartThings и т.п.

Суть уязвимости заключается в следующем: злоумышленник по радиоканалу может вынудить устройство оказаться недоступным по отношению к управляющему приложению, после чего подменить ZigBee-сообщения при последующем запуске, чтобы получить контроль над устройством и установить вредоносную прошивку. Описанная уязвимость имеет номер CVE-2020-6007 и, если кратко, приводит к переполнению буфера в куче. В этом случае мост, подключённый к локальной сети, становится точкой входа для перемещения по сети и компрометации устройств в том же Wi-Fi сегменте.

Совет для обхода уязвимости:

Распространенная проблема USB-устройств заключается в излишнем к ним доверии со стороны операционных систем. Устройство, подключенное через USB, способно достаточно легко замаскироваться под клавиатуру, мышь или геймпад. В качестве инпута оно будет передавать команды, отправленные извне, но не требующие дополнительной аутентификации. Про подобные атаки можно детальнее почитать в рамках тем про BadUSB, Rubber Ducky, аппаратные трояны и т.п.

Суть в том, что в USB-устройствах заранее заложена уязвимость функции Plug-and-Play, из-за которой протокол USB доверяет любому подключаемому устройству, чтобы оно верно его идентифицировало. Зная марку и модель клавиатуры или мыши целевого пользователя можно заменить её на взломанное устройство, которое сообщает ту же информацию. В этом случае компьютер ничего не заметит.

Совет для обхода уязвимости:

В 2013 году хакеры продемонстрировали, какой ущерб может нанести продуктовой сети атака на обычный холодильник, а точнее на точку коммуникации между поставщиком и заказчиком холодильника. Fazio Mechanical – компания, которая являлась поставщиком отопительного, холодильного и кондиционирующего оборудования для крупных ритейлеров. Она поставила сети магазинов Target холодильное оборудование и сохранила удаленный доступ для обслуживания и биллинга. Через слабо защищенные данные удаленного доступа атакующие попали в сеть Target, развернули малварь на POS-серверах и получили платежные данные 40 миллионов клиентов просто зеркалируя все операции, которые в этот момент совершали покупатели.

Этот случай примечателен потому, что удаленный доступ – это не случайная, а достаточно частая практика продовольственных магазинов. В ночное время благодаря низкому трафику (люди почти не открывают холодильники) и более низкой температуре можно запускать оборудование на энергосберегающем режиме. Таким образом бэкдор был необходим самим управляющим магазина, чтобы оперативно менять режим.

Поэтому в данном случае советы для обхода уязвимости следующие:

Кстати, в результате атаки Target понёс колоссальные убытки в более, чем $500 млн. Они ушли на возмещение расходов, связанных с перевыпуском 40 миллионов карт банками, модернизацию POS-терминалов для безопасной обработки чипа и пин-кода, штрафы от платежных систем за несоблюдение PCI, а также прямые расходы на обслуживание клиентов, включая судебные издержки и кредитный мониторинг клиентов, пострадавших от утечки.

Ещё в 2019 году реверс-инженеры из подкаста Hackable исследовали работу умного чайника с поддержкой Wi-Fi и создали несколько рабочих эксплойтов прямо в процессе подкаста. Самый короткий способ атаки на чайник заключался краже пароля домашней Wi-Fi-сети. Единственный нюанс: злоумышленник должен находиться в зоне действия Wi-Fi.

Технически это выглядело следующим образом:

Совет для обхода уязвимости:

В вибраторах моделей We-Vibe Sync и Classic была обнаружена уязвимость в связке мобильного приложения We-Connect и облачного сервиса управления устройством. Через приложение производитель собирал чувствительные данные об использовании устройств: время и частоту включения, режимы вибрации, температуру, и, что особенно печально, привязывал эти метрики к электронной почте пользователя.

Таким образом проблема заключалась не столько в «взломе», сколько в избыточной телеметрии, происходившей без должного уведомления пользователей. В результате производитель имел техническую возможность установить поведенческий профиль человека и сопоставить его с конкретным аккаунтом. Ситуация получила огласку после публичного исследования на DEF CON, что привело к коллективному иску и разбирательству в суде Канады. Компания согласилась выплатить компенсацию в размере почти $4 млн.

Совет для обхода уязвимости:

В 2021 году исследователи выявили критическую уязвимость в платформе Kalay SDK, которая используется в качестве ПО внутри IP-камер, теленянь, дверных звонков и других IoT-устройств с обязательной функцией удалённого доступа. Уязвимость позволяла злоумышленнику, зная идентификатор устройства и используя особенности механики «удалённой перепривязки» соединения, подменить соединение между камерой и облачным сервисом, перехватить поток и получить доступ к аудио/видео в реальном времени. Поскольку Kalay SDK интегрируется в прошивку устройств в качестве компонента, проблема затронула десятки брендов, включая китайских производителей бэби-мониторов и бытовых IP-камер низкой ценовой категории. И это в очередной раз подсвечивает необходимость покупать оригинальное оборудование брендов, зарекомендовавших себя на рынке.

Совет по обходу уязвимости:

В 2017 году FDA (Управление по санитарному надзору за качеством пищевых продуктов и медикаментов) подтвердили наличие уязвимостей в радиочастотном интерфейсе ряда кардиостимуляторов, дефибрилляторов и систем мониторинга глюкозы Abbott. Дело в том, что устройства поддерживают удалённый мониторинг состояния через уязвимые домашние передатчики Merlin@home. Уязвимость заключалась в отсутствии достаточной аутентификации и защите канала связи между имплантом и телеметрическим модулем. При наличии специализированного радиочастотного оборудования, злоумышленник мог отправлять некорректные управляющие последовательности, провоцируя:

Уязвимость была официально признана регуляторами, включая FDA и American Hospital Association, которые инициировали кампанию обновления прошивок устройств и рекомендаций по эксплуатации. Согласно независимым заметкам, в результате кампании Abbott обновила пользовательское соглашение, предупредив пользователей о независящем от компании риске внешнего воздействия на оборудование. Как говорится, предупрежден, значит, вооружен.

Инцидент стал публичным скандалом, поскольку продемонстрировал, что даже жизненно важные медицинские устройства подвержены сетевым рискам и нуждаются в регулярных обновлениях безопасности так же, как смартфоны и компьютеры. При этом бюджеты, выделяемые на их защиту, ощутимо меньше в сравнении с разработками ИТ-гигантов.

В завершении озвучу несколько универсальных правил для защиты, которыми рекомендую пользоваться не дожидаясь публикаций о новых угрозах и взломах “умных” вещей