Neu veröffentlichte Sicherheitsforschungen deuten darauf hin, dass Smart-Home-Geräte einer bestimmten Marke Software-Schwachstellen aufweisen, die es einem versierten Hacker ermöglichen könnten, sie zu kapern. Das Unternehmen, Nexx, vertreibt eine Vielzahl von IoT-Produkten, darunter mit dem Internet verbundene Garagentore, Alarme und Wandstecker. Alle diese Produkte sind für entworfen Sie können mit der App von Nexx gekoppelt werden, mit der Benutzer ihre häusliche Umgebung aus der Ferne überwachen und steuern können. Das hört sich vielleicht praktisch an, aber … Leider scheinen kürzlich entdeckte Softwarefehler in der Gerätesuite von Nexx für jeden, der sie nutzt, große Probleme zu bereiten.
Sam Sabetan, der Sicherheitsforscher, der auf das kleine Problem von Nexx gestoßen ist, sagt, dass die Bugs es einem schlechten Schauspieler ermöglichen könnten, jedes einzelne davon vollständig zu kapern und jedes Produkt des Unternehmens. Klingt ziemlich dramatisch, oder? Laut Sabetans kürzlich veröffentlichte ForschungsergebnisseEine ordnungsgemäße Ausnutzung der Schwachstellen könnte es einer Person ermöglichen, auf die persönlichen Daten aller Nexx-Kontoinhaber zuzugreifen – einschließlich E-Mail-Adressen und Vornamen , letzte Initialen und Geräte-IDs. Noch schockierender ist, dass der bereitgestellte Zugriff es einem geschickten Cyber-Handlanger ermöglichen könnte, alle mit Nexx verbundenen Geräte zu manipulieren. Das bedeutet die Möglichkeit, Garagentore nach Belieben zu öffnen und zu schließen, Alarme ein- und auszuschalten und Steckdosen zu deaktivieren.
Das Schlimmste daran ist, dass Sabetan behauptet, er habe Nexx mehrfach wegen der Fehler kontaktiert, sagt aber, dass das Unternehmen dies nicht zur Kenntnis nehmen möchte das Problem.
Das Passwortproblem von Nexx
Alle Sicherheitsprobleme von Nexx scheinen auf ein problematisches Passwort zurückzuführen zu sein, auf das Sabetan gestoßen ist, als er den Datenschutz des Unternehmens untersuchte, sagt Sabetan er anfänglich benutzte Rülpsen-Suite, ein Sicherheitstest-Tool, um den Verkehr, der zu und von seinem eigenen Nexx-Gerät fließt, abzufangen. Als Sabetan den Verkehr durchforstete, stieß Sabetan auf etwas das schien nicht so toll: das obengenannte Passwort, das unverschlüsselt und ungeschützt war, frei in der API der App schwebte raus, es war ziemlich wichtig.
Um die Bedeutung dieses Passworts zu verstehen, müssen Sie sich ansehen, wie IoT-Geräte normalerweise mit ihren Benutzern kommunizieren. Hier In diesem Fall werden die intelligenten Geräte von Nexx über ein Netzwerkprotokoll namens MQTT betrieben, kurz für Message-Queuing-Telemetrie-Transport. MQTT, das häufig in IoT-Produkten verwendet wird, kann Nachrichten an und von einem Benutzer, seinem Gerät und dem entsprechenden Unternehmen übertragen Cloud-Infrastruktur. Im Fall von Nexx war das Protokoll dafür verantwortlich, das Senden von Befehlen zwischen allen dreien (also dem Benutzer, dem Gerät usw.) zu unterstützen und die Cloud) – einschließlich Befehlen, wie etwa dem Befehl, ein Garagentor zu öffnen oder einen Alarm auszulösen.
Hier ist der wichtige Teil: Ein Server, der üblicherweise als MQTT-„Broker“ bezeichnet wird, ist dafür verantwortlich, die Weiterleitung der Daten zwischen Parteien zu unterstützen Entscheidend ist, ein Passwort ist notwendig um den MQTT-Server zuschützen, der die Weiterleitung der Daten hilft. Idealerweise sollte für jedes Gerät ein anderes Passwort geben, das eine Verbindung zu herstellt Server, sagt Sabetan. Leider scheint dies im Fall von Nexx nicht der Fall gewesen zu sein, sondern es wurde lediglich ein Passwort für jedes einzelne Gerät verwendet das mit seiner Cloud-Umgebung verbunden war – dasselbe Passwort, das in der Nexx-API im Umlauf war und ursprünglich an Sabetan gesendet worden war .
Sabetan sagt, dass der Grund dafür, dass das entscheidende Passwort mit dem Benutzer geteilt wird, in erster Linie darin besteht, beim Aufbau einer sicheren Verbindung zwischen beiden zu helfen Das Nexx-Gerät und die Nexx-Cloud bei der ersten Einrichtung des Geräts. Das Passwort wird zunächst vom Gerät gesendet Die Verbindung wird von der Cloud-Umgebung des Unternehmens zum Telefon des Benutzers und dann über WLAN oder Bluetooth zum zugehörigen Nexx-Smart-Gerät übertragen, was die Verbindung ermöglicht eingerichtet werden und es dem Benutzer ermöglichen, über die Nexx-App mit dem Gerät zu interagieren.
Mit anderen Worten: Laut Sabetan ist das, was Nexx getan hat, so, als würde ein Wohnungsverwalter jedem Mieter den gleichen Schlüssel aushändigen in ihrem Gebäude; dieser Schlüssel bringt Sie in das Gebäude, aber auch in alle Einheiten Ihrer Nachbarn – und in die Einheiten Ihrer Nachbarn Ich kann mir vorstellen, dass ein solcher Schlüssel auch ziemlich leicht zu stehlen ist.
„Bei MQTT-basierten IoT-Geräten ist es entscheidend, für jedes Gerät eindeutige Passwörter zu verwenden, um eine sichere Kommunikationsumgebung zu gewährleisten Im Fall von Nexx wurde ein universelles Passwort für alle Geräte verwendet, was die allgemeine Sicherheit ihres Systems gefährdete“, schreibt Sabetan in seinem Blog.
Entscheidend ist, dass der Zugriff auf den MQTT-Server es Sabetan nicht nur ermöglichte, den mit anderen Nexx-Kontobenutzern verknüpften Geräteverkehr anzuzeigen, sondern dies auch getan hätte erlaubte ihm, Signale an ihre Geräte zu senden, wenn er dies wollte (er tat dies nicht und entschied sich stattdessen dafür, den Exploit darauf zu testen). mehrere Nexx-Geräte, die er selbst gekauft hatte. Mit anderen Worten: Es gab ihm die Macht, Dinge wie das Öffnen und Schließen der Garage zu tun Türen öffnen, Alarme ein- und ausschalten und Steckdosen deaktivieren. Um zu demonstrieren, wie das funktioniert, hat Sabetan ein Video gemacht, in dem er seine Manipulationen aus der Ferne zeigt sein eigenes Garagentor, das genau aufschlüsselt,wie es geht:
Nexx reagiert nicht
In seinem Artikel erläutert Sabetan die Auswirkungen der Entscheidung des Unternehmens, für sein gesamtes IoT ein „universelles Passwort“ zu verwenden Produkte – nennen wir es einen klaren Kompromiss hinsichtlich der „Sicherheit“ der Benutzer:
Die Verwendung eines universellen Passworts für alle Geräte stellt eine erhebliche Sicherheitslücke dar, da unbefugte Benutzer durch den Erhalt des gemeinsamen Passworts auf das gesamte Ökosystem zugreifen können Dadurch könnten sie nicht nur die Privatsphäre, sondern auch die Sicherheit der Kunden von Nexx gefährden, indem sie ihre Garagentore ohne deren Zustimmung kontrollieren .Das festcodierte Passwort ist nicht nur allgemein in der Nexx-API verfügbar, sondern auch in der mit dem Gerät gelieferten Firmware öffentlich verfügbar.
Sabetan sagt, er habe sich mehrmals an Nexx gewandt, um die schwerwiegenden Sicherheitsprobleme zu melden, und habe sogar eine E-Mail an das Unternehmen geschickt CEO – erhielt aber keine Antwort. Sabetan kontaktierte ebenfalls den Agentur für Cybersicherheit und Infrastruktursicherheit (oder CISA), eine Unterbehörde des Department of HomelandSecurity, die sich auf die Offenlegung von Schwachstellen konzentriert, um bei der Kontaktaufnahme mit dem Unternehmen zuhelfen – ohne Erfolg. Kurz gesagt: Es sieht nicht so aus, als ob das Unternehmen daran interessiert wäre, das Problem öffentlich anzuerkennen.
„Nexx hat Kommunikationsversuche von mir selbst, vom Heimatschutzministerium und von den Medien konsequent ignoriert“, schreibt Sabatan sein Blogbeitrag zu den Sicherheitslücken. „Gerätebesitzer sollten sofort alle Nexx-Geräte ausstecken und Support-Tickets beim Unternehmen erstellen, in denen sie aufgefordert werden, das Problem zu beheben „Problem.“ Gizmodo hat sich auch an Nexx gewandt, um einen Kommentar zu erhalten, und wird unsere Geschichte aktualisieren, wenn das Unternehmen antwortet.
