As vulnerabilidades do aplicativo deixam os dispositivos IoT abertos para ataques

Os dispositivos IoT foram presentes populares novamente nesta temporada de férias. Acrônimo para Internet of Things, IoT é mais do que uma palavra da moda. A tendência representa uma grande mudança na forma como os produtos são feitos e usados, à medida que a conectividade de rede é adicionada a produtos que não eram planejados anteriormente para ter essa funcionalidade.

Então, sua geladeira que envia uma mensagem de texto quando você está sem leite:IoT. Seu termostato que fornece gráficos de uso em seu telefone:sim, IoT. Basicamente, qualquer dispositivo de consumidor capaz de se conectar a uma rede diferente de um computador, telefone, tablet ou roteador é considerado um dispositivo IoT, diz Fleming Shi, CTO da Barracuda Networks.

A segurança tem sido uma grande preocupação com os dispositivos IoT, no entanto. Embora melhorias tenham sido feitas, novos tipos de vulnerabilidades permanecem. Por exemplo, as equipes do Barracuda Labs recentemente usaram uma câmera de segurança IoT para ajudar a ilustrar uma nova ameaça:o comprometimento da credencial IoT, que usa vulnerabilidades de aplicativos móveis e da web para comprometer dispositivos IoT.

Comprometimento da credencial IoT

Os invasores podem usar vulnerabilidades nos aplicativos da web e aplicativos móveis usados ​​por certos dispositivos IoT para adquirir credenciais, que podem então ser usadas para visualizar o feed de vídeo, definir / receber / excluir alarmes, remover videoclipes salvos do armazenamento em nuvem e ler informações da conta . Os invasores também podem usar as credenciais para enviar sua própria atualização de firmware para o dispositivo, alterando sua funcionalidade e usando o dispositivo comprometido para atacar outros dispositivos na mesma rede.

Os detalhes

Para ilustrar essa ameaça, o Barracuda A equipe do Labs conduziu recentemente uma pesquisa em uma câmera de segurança conectada e identificou várias vulnerabilidades no aplicativo da web da câmera e no ecossistema de aplicativos móveis:

• O aplicativo móvel ignora a validade do certificado do servidor
• Cross-site scripting (XSS) no aplicativo da web
• Percurso de arquivo em um servidor em nuvem
• O usuário controla o link de atualização do dispositivo
• As atualizações do dispositivo não são assinadas
• O dispositivo ignora a validade do certificado do servidor

Usando essas vulnerabilidades, a equipe foi capaz de realizar os seguintes ataques para adquirir credenciais e comprometer um dispositivo IoT, tudo sem uma conexão direta com o próprio dispositivo.

Aquisição de credenciais do aplicativo móvel

Se um invasor puder interceptar o tráfego para o aplicativo móvel usando uma rede comprometida ou hostil, ele poderá obter facilmente a senha do usuário. Funciona assim:

1. A vítima se conecta a uma rede comprometida / hostil com um telefone celular.

2. O aplicativo de câmera conectado tentará se conectar aos servidores do fornecedor por https.

3. A rede hostil / comprometida irá rotear a conexão para o servidor do invasor, que usará seu próprio certificado SSL e proxy para a comunicação com o servidor do fornecedor.

4. O servidor do invasor agora contém um hash MD5 sem sal da senha do usuário.

5. O invasor também pode interferir na comunicação entre o servidor do fornecedor e o aplicativo.

Aquisição de credenciais do aplicativo da web

Este tipo de ataque depende da funcionalidade que permite aos usuários compartilhar o acesso do dispositivo à câmera conectada com outros usuários. Para compartilhar um dispositivo, o destinatário precisa ter uma conta válida com o fornecedor de IoT e o remetente precisa saber o nome de usuário do destinatário, que por acaso é um endereço de e-mail.

1. O invasor irá incorporar uma exploração XSS em um nome de dispositivo e, em seguida, compartilhar esse dispositivo com a vítima.

2. Assim que a vítima fizer login em sua conta usando o aplicativo da web, o exploit XSS irá executar e compartilhar o token de acesso (que é armazenado como uma variável no aplicativo da web) com o invasor.

3. Com esse token de acesso, o invasor pode acessar a conta da vítima e todos os seus dispositivos registrados.

Por meio dessa pesquisa, a equipe do Barracuda Labs conseguiu comprometer um dispositivo IoT (câmera conectada) sem qualquer conexão direta com o próprio dispositivo. Isso torna a vida mais fácil para os invasores. Chega de escanear no Shodan para dispositivos vulneráveis.

Em vez disso, o ataque será executado contra a infraestrutura do fornecedor. É uma ameaça que também pode afetar outros tipos de dispositivos IoT, independentemente de sua função, porque aproveita a maneira como o dispositivo se comunica com a nuvem.

Afinal, os bugs não são inerentes aos produtos, mas sim aos processos, habilidades e consciência dos desenvolvedores. Conforme os controles de acesso e acesso para dispositivos IoT mudaram para serviços em nuvem, também mudaram as vulnerabilidades, tornando possíveis os tipos de ataques descobertos pela equipe do Barracuda Labs.

Lições para fabricantes de IoT

Os fornecedores que criam soluções de IoT precisam proteger todos os aspectos dos aplicativos usados ​​para executar esses dispositivos. Dispositivos IoT são sensores distribuídos em casas, escolas e escritórios e são pontos de entrada em potencial para invasores. A rede de cada cliente é uma abertura para o núcleo do servidor e para outros clientes.

Um firewall de aplicativo da web, uma das proteções mais críticas que os fornecedores de IoT precisam implementar, é projetado para proteger os servidores do tráfego HTTP na camada 7. Os fabricantes também precisam aumentar a proteção contra ataques da camada de rede e phishing.

A segurança da nuvem também é importante, pois fornece visibilidade, proteção e remediação de aplicativos IoT e das infraestruturas em que são executados. O potencial de exposição ao movimento lateral é grande e complexo, portanto, é fundamental tomar as devidas precauções de segurança.

Como se proteger como consumidor

Ao comprar um dispositivo IoT, o consumidor precisa pensar em segurança, além de conveniência e preço. Aqui estão algumas dicas a serem consideradas:

• Pesquise o fabricante do dispositivo - Algumas empresas que produzem dispositivos IoT entendem de segurança de software. A maioria são empresas existentes cuja especialidade está em fazer os produtos físicos que estão sendo conectados ou startups que tentam trazer dispositivos ao mercado o mais rápido possível. Em ambos os casos, o software adequado e as medidas de segurança de rede são freqüentemente esquecidas.
• Procure vulnerabilidades existentes em outros dispositivos de um fornecedor - Se um dispositivo tem uma vulnerabilidade, é provável que outros dispositivos com recursos semelhantes da mesma empresa também estejam vulneráveis. Em última análise, um fornecedor com um histórico de dispositivos seguros provavelmente construirá dispositivos seguros daqui para frente.
• Avalie as respostas às vulnerabilidades anteriores - Se um fornecedor responde às pessoas que relatam uma vulnerabilidade e a resolve rapidamente com a atualização do firmware, isso é um bom presságio para suas perspectivas sobre a segurança e os produtos futuros que fabricam.

Infelizmente, a quantidade de informações disponíveis sobre a postura de segurança dos dispositivos IoT é surpreendentemente baixa. Idealmente, precisamos conseguir um mundo onde os produtos IoT sejam pontuados com uma classificação de segurança, assim como os carros. Os consumidores devem ser informados antes de investirem em dispositivos IoT.

O autor deste blog é Fleming Shi, CTO da Barracuda Networks