Yeni yayınlanan güvenlik araştırması, belirli bir akıllı ev cihazı markasının, bilgili bir bilgisayar korsanının bunları tamamen ele geçirmesine izin verebilecek yazılım açıklarına sahip olduğunu gösteriyor.
Söz konusu şirket, Sonraki, internet bağlantılı garaj kapıları, alarmlar ve dübeller dahil olmak üzere çeşitli IoT ürünleri satmaktadır. Bu ürünlerin tümü, kullanıcıların evlerini uzaktan izlemelerine, belirli özellikleri etkinleştirmelerine veya devre dışı bırakmalarına ve genellikle ev ortamlarını uzaktan kontrol etmelerine olanak tanıyan Nexx’in uygulamasıyla eşleşecek şekilde tasarlanmıştır. Kulağa iyi ve güzel gelebilir ama ne yazık ki, Nexx’in cihaz takımında son zamanlarda keşfedilen yazılım kusurları, bunları kullanan herkes için büyük sorun yaratıyor gibi görünüyor.
Nexx’in küçük sorununa rastlayan güvenlik araştırmacısı Sam Sabetan, hataların kötü bir aktörün şirketin her bir ürününü tamamen kaçırmasına izin verebileceğini söylüyor. Kulağa oldukça dramatik geliyor, değil mi? Sabetan’ın son zamanlardaki haberine göre yayınlanmış araştırma, güvenlik açıklarının uygun şekilde kullanılması, bir kişinin e-posta adresleri, adlar, soyadı baş harfleri ve cihaz kimlikleri dahil olmak üzere tüm Nexx hesabı sahiplerinin kişisel bilgilerine erişmesine izin verebilir. Daha da şaşırtıcı olanı, sağlanan erişim, bilgili bir siber yardakçının Nexx bağlantılı herhangi bir cihazı manipüle etmesine izin verebilir. Bu, garaj kapılarını istediğiniz zaman açıp kapatabilme, alarmları açıp kapatabilme ve prizleri devre dışı bırakabilme anlamına gelir.
Hepsinden kötüsü, Sabetan hatalar hakkında Nexx ile birçok kez iletişime geçtiğini iddia ediyor, ancak şirketin sorunu kabul etmek istemediğini söylüyor.
Nexx Şifre Sorunu
Nexx’in tüm sorunları, Sabetan’ın araştırırken karşılaştığı sorunlu bir şifreye indirgenmiş gibi görünüyor. Nexx’in veri korumaları. Sabetan, başlangıçta kullanılmış Geğirme Süiti, kendi Nexx cihazına gelen ve giden trafiği engellemek için bir güvenlik testi aracı. Bu trafiği inceleyen Sabetan, harika görünmeyen bir şeyle karşılaştı: uygulamanın API’sinde ücretsiz olarak bulunan korumasız bir şifre. Görünüşe göre, oldukça önemli bir şeydi.
G/O Media komisyon alabilir
Bu parolanın önemini anlamak için IoT cihazlarının kullanıcılarıyla tipik olarak nasıl iletişim kurduğuna bir göz atmanız gerekir. Bu durumda, Nexx’in akıllı cihazları MQTT (kısaca MQTT) adı verilen bir ağ protokolü tarafından desteklenmektedir. Message Queuing Telemetri Aktarımı. IoT ürünlerinde sıklıkla kullanılan MQTT, kullanıcıya, cihazına ve ilgili şirketin bulut altyapısına/kullanıcıdan mesaj iletebilmektedir. Nexx’in durumunda, protokol, bir garaj kapısının açılmasını veya bir alarmın çalmasını söylemek gibi komutlar da dahil olmak üzere üçü (yani kullanıcı, cihaz ve bulut) arasında komutların gönderilmesine yardımcı olmaktan sorumluydu.
İşte önemli kısım: tipik olarak MQTT “broker” olarak bilinen bir sunucu, verilerin taraflar arasında yönlendirilmesine yardımcı olmaktan sorumludur. En önemlisi, şifre gerekli verileri yönlendirmeye yardımcı olan MQTT sunucusunu korumak için. Sabetan, ideal olarak sunucuya bağlanan her cihaz için farklı bir parola olması gerektiğini söylüyor. Maalesef, Nexx’in durumunda, bulut ortamına bağlanan her bir cihaz için tek bir parola kullanarak bunu yapmış gibi görünmüyor; Nexx API’sinde dolaşan ve başlangıçta Sabetan’a gönderilmiş olan parolanın aynısı. .
Sabetan, esas şifrenin kullanıcı ile paylaşılmasının sebebinin, ilk kurulum sırasında Nexx cihazı ile Nexx bulutu arasında güvenli bir bağlantı kurulmasına yardımcı olmak olduğunu söylüyor. Şifre, öncelikle şirketin bulut ortamından kullanıcının telefonuna ve ardından ilgili Nexx akıllı cihazına WiFi veya Bluetooth aracılığıyla gönderilerek bağlantı kurulmakta ve kullanıcının Nexx uygulamasını kullanarak cihazla etkileşim kurması sağlanmaktadır.
Başka bir deyişle, Sabetan’a göre Nexx’in yaptığı, bir apartman yöneticisinin binasındaki her kiracıya aynı anahtarı dağıtmasına eşdeğerdir; bu anahtar sizi binaya götürür ama aynı zamanda tüm komşularınızın birimlerine de girmenizi sağlar ve komşularınız sizin biriminize girebilir. Böyle bir anahtarın çalınması da oldukça kolay olurdu sanırım.
“MQTT tabanlı IoT cihazlarda, güvenli bir iletişim ortamı sağlamak için her cihaz için benzersiz şifreler kullanmak çok önemlidir. Ancak, Nexx söz konusu olduğunda, tüm cihazlar için evrensel bir parola kullanıldı ve bu da sistemlerinin genel güvenliğini tehlikeye attı,” diye yazıyor Sabetan. blogunda.
Temel olarak, MQTT sunucusuna erişim, Sabetan’ın yalnızca diğer Nexx hesabı kullanıcılarıyla bağlantılı cihaz trafiğini görüntülemesine izin vermekle kalmadı, aynı zamanda isterse cihazlarına sinyal göndermesine de izin verdi (bunu yapmadı, bunun yerine test etmeyi seçti). kendisinin satın aldığı birkaç Nexx cihazındaki istismar). Başka bir deyişle, ona garaj kapılarını açıp kapama, alarmları açıp kapatma ve prizleri devre dışı bırakma gibi şeyleri yapma gücü verdi. Bunun nasıl çalıştığını göstermek için Sabetan, kendi garaj kapısını uzaktan manipüle ederken tam olarak nasıl yapılacağını gösteren bir video çekti:
Nexx Yanıt Veremiyor
Sabetan, yazısında, şirketin tüm IoT ürünleri için “evrensel bir parola” kullanma kararının sonuçlarını daha da ayrıntılı olarak açıklıyor ve bunu, kullanıcıların “güvenliğinden” açık bir şekilde taviz vermek olarak adlandırıyor:
Yetkisiz kullanıcılar paylaşılan parolayı alarak tüm ekosisteme erişebileceğinden, tüm cihazlar için evrensel bir parola kullanmak önemli bir güvenlik açığı sunar. Bunu yaparken, garaj kapılarını izinleri olmadan kontrol ederek Nexx’in müşterilerinin yalnızca mahremiyetini değil, aynı zamanda güvenliğini de tehlikeye atabilirler. Nexx’in API’sinde yaygın olarak bulunmasına ek olarak, sabit kodlanmış parola, cihazla birlikte gönderilen üretici yazılımında da herkese açıktır.
Sabetan, ciddi güvenlik sorunlarını bildirmek için Nexx’e birkaç kez ulaştığını, hatta şirketin CEO’suna bir e-posta gönderdiğini, ancak yanıt alamadığını söylüyor. Sabetan da temasa geçti Siber Güvenlik ve Altyapı Güvenliği Ajansı (veya, CISA), İç Güvenlik Bakanlığı’nın güvenlik açığı ifşalarına odaklanan bir alt kuruluşu, şirketle iletişime geçmeye yardımcı olmak için – boşuna. Kısacası, şirket sorunu kamuya açık bir şekilde kabul etmekle ilgilenmiyor gibi görünüyor.
Sabatan, “Nexx sürekli olarak benden, Ulusal Güvenlik Departmanından ve medyadan gelen iletişim girişimlerini görmezden geldi” diye yazıyor. onun blog gönderisi güvenlik açıkları hakkında. “Cihaz sahipleri derhal tüm Nexx cihazlarının fişini çekmeli ve şirketten sorunu çözmelerini isteyen bir destek bileti oluşturmalıdır.” Gizmodo ayrıca yorum için Nexx’e ulaştı ve şirket yanıt verirse hikayemizi güncelleyecek.