L’Internet of Things rivoluzionerà il modo di costruire e usare i prodotti di tutti i giorni, mettendo ogni dispositivo consumer in grado di connettersi a una rete. La sicurezza resta però un grosso problema in questo nuovo scenario.
Dai Barracuda Labs di Barracuda Networks giunge un intressante monito su una nuova minaccia, messo in evidenza utilizzando una telecamera di sicurezza IoT.
Le vulnerabilità dell’IoT
Gli speciaisti di Barracuda hanno voluto evidenziare come i malintenzionati possano sfruttare le vulnerabilità delle applicazioni Web e mobili usate da certi dispositivi IoT per acquisire credenziali che a loro volta possono essere usate per visualizzare i feed video, impostare/ricevere/cancellare allarmi, rimuovere i video clip salvati nel cloud e leggere informazioni sull’account.
Possono, inoltre, usare le credenziali per caricare sul dispositivo propri aggiornamenti firmware, modificandone le funzionalità e utilizzandolo per attaccare altri dispositivi sulla stessa rete.
Per illustrare la minaccia, i Barracuda Labs hanno condotto una ricerca con una telecamera di sicurezza connessa identificando varie vulnerabilità nell’ecosistema delle app Web e mobili associate alla telecamera:
- L’app mobile non verifica la validità del certificato del server
- Cross-site scripting (XSS) nella pagina web
- File traversal in un server cloud
- User controls device update link
- Aggiornamenti del dispositivo non firmati
- Il dispositivo ignora la validità del certificato del server
Acquisire le credenziali da dispositivo mobile
Se un malintenzionato può intercettare il traffico verso l’app mobile usando una rete ostile o compromessa, può agevolmente acquisire la password.
Il funzionamento prevede una serie di fasi successive.
Dapprima l’utente si connette mediante il telefono a una rete ostile/compromessa.
Quindi l’app della telecamera cerca di connettersi al server del fornitore via https e la rete compromessa instrada la connessione sul server del malintenzionato, che userà il proprio certificato SSL e agirà da proxy per comunicare col server del fornitore
Il server del malintenzionato a questo punto possiede un hash MD5 “unsalted” della password e l’atrtaccante può anche intercettare le comunicazioni tra il server del fornitore e l’app.
Sfruttare la vulnerabilità da una app Web
Questo tipo di attacco poggia sulla funzionalità che permette agli utenti di condividere con altri utenti l’accesso alla telecamera connessa.
Per condividere un dispositivo, il ricevente deve avere un account valido con il fornitore IoT e il mittente deve conoscere lo user name del ricevente, che normalmente è un indirizzo email.
A questo punto il malintenzionato incorpora un exploit XSS nel nome di un dispositivo e quindi condivide quel dispositivo con la vittima.
Quando la vittima si è collegata al proprio account usando l’app web, l’exploit XSS viene eseguito condividendo il token di accesso (memorizzato come variabile nell’app Web) con il malintenzionato
Possedendo il token di accesso, quest’ultimo può accedere all’account della vittima e a tutti i suoi dispositivi registrati.
Con questo studio, i Barracuda Labs sono riusciti a compromettere un dispositivo IoT (la telecamera connessa) senza alcuna connessione diretta al dispositivo stesso.
Questo significa che non è necessario fare scansioni con Shodan alla ricerca di dispositivi vulnerabili: è sufficiente che l’attacco sia rivolto all’infrastruttura del fornitore.
È una minaccia che può colpire anche altri tipi di dispositivi IoT, indipendentemente dalla loro funzione, in quanto approfitta del modo in cui il dispositivo comunica con il cloud.
Dopo tutto, i bug non sono inerenti al prodotto ma piuttosto ai processi, alle conoscenze e alla consapevolezza degli sviluppatori.
Se l’accesso e il controllo degli accessi per i dispositivi IoT dipendono dai servizi cloud, lo stesso vale per le vulnerabilità, rendendo così possibili i tipi di attacco scoperti dai Barracuda Labs.
Suggerimenti su come proteggersi
Per proteggersi da questi rischi Barracuda suggerisce agli utenti di porre attenzine alle funzionalità di sicurezza quando acquistano un dispositivo IoT.
Sfortunatamente, la quantità di informazioni disponibili sulla sicurezza dei dispositivi IoT è sorprendentemente bassa. Tuttavia è importante informarsi prima di effettuare un acquisto IoT.
Scegliere accuratamente il produttore significa anche comprendere che alcune delle aziende che producono dispositivi IoT hanno maggiore familiarità di altre con la sicurezza del software.
È importante verificare se esistono vulnerabilità negli altri dispositivi dello stesso fornitore: se un dispositivo ha una vulnerabilità è probabile che altri dispositivi simili dello stesso fornitore abbiano le stesse vulnerabilità. Se un fornitore vanta un passato di dispositivi sicuri, probabilmente continuerà a proporre dispositivi sicuri.
Infine, il vendor, suggerisce di valutare le risposte alle vulnerabilità passate: se un fornitore reagisce prontamente alle segnalazioni da parte degli utenti e risolve rapidamente la situazione con aggiornamenti del firmware, ciò depone a favore del suo atteggiamento nei confronti della sicurezza dei prodotti futuri.