Le credenziali possono essere usate per visualizzare i feed video, impostare/ricevere/cancellare allarmi, rimuovere i video clip salvati nel cloud e leggere informazioni sull’account

Connettività IoT per ​Mobileye 8 Connect​ grazie a Orange

L’IoT sta portando un enorme cambiamento nel modo di costruire e usare i prodotti, dato che la connettività di rete viene aggiunta a oggetti che non erano nati pensando a questa funzionalità. Il frigorifero che manda un messaggio per avvisare che è finito il latte? È IoT. Il termostato che mostra sullo smartphone grafici sui consumi? Ancora IoT. Sostanzialmente ogni dispositivo consumer in grado di connettersi a una rete (che non sia un pc, un tablet, un telefono o un router) è considerato un dispositivo IoT.

La sicurezza però è sempre stata un grosso problema per questi dispositivi. Sono stati fatti molti miglioramenti, ma rimangono i nuovi tipi di vulnerabilità. I Barracuda Labs di Barracuda Networks, ad esempio, hanno recentemente usato una telecamera di sicurezza IoT per illustrare una nuova minaccia: la compromissione delle credenziali IoT che sfrutta le vulnerabilità delle applicazioni web e mobili per compromettere il dispositivo.

La minaccia

Compromissioni delle credenziali IoT: i malintenzionati possono sfruttare le vulnerabilità delle applicazioni web e mobili usate da certi dispositivi IoT per acquisire credenziali che a loro volta possono essere usate per visualizzare i feed video, impostare/ricevere/cancellare allarmi, rimuovere i video clip salvati nel cloud e leggere informazioni sull’account. Possono infine usare le credenziali per caricare sul dispositivo propri aggiornamenti firmware, modificandone le funzionalità e utilizzandolo per attaccare altri dispositivi sulla stessa rete.

I dettagli

Per illustrare la minaccia, i Barracuda Labs hanno recentemente condotto una ricerca con una telecamera di sicurezza connessa identificando varie vulnerabilità nell’ecosistema delle app web e mobili associate alla telecamera:

  • L’app mobile non verifica la validità del certificato del server
  • Cross-site scripting (XSS) nella pagina web
  • File traversal in un server cloud
  • User controls device update link
  • Aggiornamenti del dispositivo non firmati
  • Il dispositivo ignora la validità del certificato del server

Sfruttando queste vulnerabilità, il team di Barracuda è stato in grado di eseguire i seguenti attacchi per acquisire credenziali e compromettere il dispositivo, il tutto senza una connessione diretta al dispositivo stesso.

Acquisizione delle credenziali dall’app mobile

Se un malintenzionato può intercettare il traffico verso l’app mobile usando una rete ostile o compromessa, può agevolmente acquisire la password. Ecco come funziona:

  1. L’utente si connette mediante il telefono a una rete ostile/compromessa
  2. L’app della telecamera cerca di connettersi al server del fornitore via https
  3. La rete ostile/compromessa instrada la connessione sul server del malintenzionato, che userà il proprio certificato SSL e agirà da proxy per comunicare col server del fornitore
  4. Il server del malintenzionato a questo punto possiede un hash MD5 “unsalted” della password
  5. Il malintenzionato può anche intercettare le comunicazioni tra il server del fornitore e l’app.

Acquisire le credenziali dall’app web

Questo tipo di attacco poggia sulla funzionalità che permette agli utenti di condividere con altri utenti l’accesso alla telecamera connessa. Per condividere un dispositivo, il ricevente deve avere un account valido con il fornitore IoT e il mittente deve conoscere lo user name del ricevente, che normalmente è un indirizzo email:

  1. Il malintenzionato incorpora un exploit XSS nel nome di un dispositivo e quindi condivide quel dispositivo con la vittima
  2. Quando la vittima si è collegata al proprio account usando l’app web, l’exploit XSS viene eseguito condividendo il token di accesso (memorizzato come variabile nell’app web) con il malintenzionato
  3. Possedendo il token di accesso, quest’ultimo può accedere all’account della vittima e a tutti i suoi dispositivi registrati.

Con questo studio, i Barracuda Labs sono riusciti a compromettere un dispositivo IoT (la telecamera connessa) senza alcuna connessione diretta al dispositivo stesso; ciò semplifica molto la vita ai malintenzionati. Non è necessario fare scansioni con Shodan alla ricerca di dispositivi vulnerabili: è sufficiente che l’attacco sia rivolto all’infrastruttura del fornitore. È una minaccia che può colpire anche altri tipi di dispositivi IoT, indipendentemente dalla loro funzione, in quanto approfitta del modo in cui il dispositivo comunica con il cloud. Dopo tutto, i bug non sono inerenti al prodotto ma piuttosto ai processi, alle conoscenze e alla consapevolezza degli sviluppatori. Se l’accesso e il controllo degli accessi per i dispositivi IoT dipendono dai servizi cloud, lo stesso vale per le vulnerabilità, rendendo così possibili i tipi di attacco scoperti dai Barracuda Labs.

Una lezione per gli sviluppatori

I fornitori che creano soluzioni IoT devono proteggere tutti gli aspetti delle applicazioni usate per interagire con questi dispositivi. Questi ultimi sono sensori distribuiti nelle case, nelle scuole e negli uffici e sono potenziali punti di ingresso per i malintenzionati. La rete di ogni cliente è un potenziale punto di accesso al server e agli altri clienti.

Un firewall applicativo, una delle protezioni più importanti che i fornitori IoT devono implementare, è progettato per proteggere i server dal traffico HTTP al layer 7. Devono inoltre potenziare le protezioni nei confronti degli attacchi al livello di rete e di phishing.

Altrettanto importante è la sicurezza cloud, in grado di garantire visibilità, protezione e sanificazione delle applicazioni IoT e delle infrastrutture su cui girano. La possibilità di attacchi Lateral Movement è alta ed è importante prendere tutte le precauzioni possibili.

Come proteggersi

Quando acquistano un dispositivo IoT, i consumatori devono tenere in considerazione la sicurezza, non solo la comodità e il prezzo:

  • Scegliere il produttore: alcune delle aziende che producono dispositivi IoT hanno familiarità con la sicurezza del software. La maggior parte, invece, sono o aziende già esistenti la cui esperienza sta nel costruire i prodotti fisici che verranno connessi, o startup che cercano di portare i dispositivi sul mercato il più in fretta possibile. In entrambi i casi, spesso le misure adeguate di sicurezza della rete e del software sono trascurate.
  • Verificare se esistono vulnerabilità negli altri dispositivi dello stesso fornitore: se un dispositivo ha una vulnerabilità è probabile che altri dispositivi simili dello stesso fornitore abbiano le stesse vulnerabilità. Se un fornitore vanta un passato di dispositivi sicuri, probabilmente continuerà a proporre dispositivi sicuri.
  • Valutare le risposte alle vulnerabilità passate: se un fornitore reagisce prontamente alle segnalazioni da parte degli utenti e risolve rapidamente la situazione con aggiornamenti del firmware, ciò depone a favore del suo atteggiamento nei confronti della sicurezza dei prodotti futuri.

Sfortunatamente, la quantità di informazioni disponibili sulla sicurezza dei dispositivi IoT è sorprendentemente bassa. Idealmente, dovremmo avvicinarci a un mondo in cui tutti i prodotti IoT hanno una valutazione della sicurezza, come avviene per le auto. I consumatori, comunque, dovrebbero sempre informarsi prima di investire in dispositivi IoT.

Articoli correlatiAltro dello stesso autore