Масов проблем със „скрити“ общи технологии зад различни марки

Френският изследовател по киберсигурност Сами Аздуфал разкри мащабен набор от критични уязвимости в интернет-свързани бебефони и домашни камери, използващи обща технологична платформа на китайската компания Meari Technology. Според анализа засегнати могат да бъдат до 1,1 милиона устройства в повече от 118 държави.

Проблемът не засяга само една марка. Технологичният стек на Meari се използва от над 300 бранда по света, които продават устройства под собствено име чрез платформи като Amazon и други онлайн магазини. Сред засегнатите марки се споменават Wyze, CloudEdge, Intelbras, Arenti и Petcube.

Една платформа, стотици брандове

Според Аздуфал повечето потребители дори не подозират, че купуват практически една и съща система, независимо от логото върху опаковката.

Китайският ODM производител изгражда целия пакет – хардуер, фърмуер, мобилно приложение и облачна инфраструктура – след което различни компании просто ребрандират продукта и го продават под собствено име.

Изследователят посочва, че приложенията често са взаимозаменяеми, а от самата кутия не става ясно към коя облачна платформа се свързва устройството.

Пет критични уязвимости с потенциал за масово следене

Откритите слабости вече се проследяват от CISA и включват пет високорискови CVE уязвимости.

Неоторизиран достъп до чужди видео потоци

Най-сериозният проблем е свързан с MQTT инфраструктурата, използвана за изпращане на известия от камерите към мобилните приложения. Заради неправилна конфигурация всеки потребител с безплатен акаунт е можел да получава данни от чужди устройства.

Това означава потенциален достъп до информация от бебефони, домашни камери и системи за наблюдение без знанието на собствениците.

Изтичане на IP адреси и физическа локация

Друга уязвимост позволява чрез статичен OpenAPI ключ да се извлича информация за устройствата без автеникация. При наличие на сериен номер атакуващите могат да получат външния IP адрес на камерата и приблизително да определят физическото местоположение на потребителя.

Публично достъпни снимки в Alibaba Cloud

Особено тревожна е информацията, че моментните снимки, генерирани при засичане на движение, са били качвани в публично достъпно пространство в Alibaba Cloud.

Линковете към изображенията:

• не са били подписани;
• не са имали срок на валидност;
• не са изисквали вход или удостоверяване.

На практика всеки, който получи URL адреса, е можел да отвори снимките.

Допълнително изображенията са били „защитени“ чрез елементарен XOR механизъм, който лесно може да бъде обърнат и декодиран с публично достъпни техники.

Хардкодирани криптографски ключове

Изследването установява и наличие на еднакви вградени криптографски ключове във всички приложения, използващи платформата на Meari.

Тези ключове са хардкодирани във фърмуера и практически не могат лесно да бъдат сменени при компрометиране. Подобен подход се счита за сериозен архитектурен провал в IoT сигурността, защото една компрометирана система може да засегне огромен брой устройства едновременно.

Изтекли вътрешни данни и служебни акаунти

По време на анализа Аздуфал открива и изложени вътрешни сървъри на Meari, съдържащи над 600 служебни идентификационни данни, включително акаунти на служители и ръководители на компанията.

Според изследователя това показва системен проблем в начина, по който платформата е проектирана и поддържана.

Бавна реакция и неясно уведомяване на клиентите

Първоначално компанията е омаловажила откритията, но впоследствие е изключила уязвимата EMQX инфраструктура, сменила е компрометираните идентификационни данни и е публикувала обновления за част от устройствата.

Окончателното потвърждение на уязвимостите от страна на Meari е дошло след 47 дни.

Към момента остава неясно:

• колко устройства реално могат да получат обновления;
• дали всички клиенти са били уведомени;
• кои модели остават уязвими;
• дали някои устройства вече са извън поддръжка.

Проблемът с „white-label“ IoT пазара

Според Лари Пес случаят е показателен за по-широк структурен проблем в пазара на евтини IoT устройства.

Много компании продават продукти под собствен бранд, но нямат реален контрол върху:

• фърмуера;
• облачната инфраструктура;
• процеса по обновяване;
• сигурността на бекенд системите.

Това създава сложна верига на отговорност, при която потребителите трудно могат да разберат кой реално поддържа и защитава устройствата им.

Защо този случай е особено опасен

Бебефоните и домашните камери са сред най-чувствителните IoT устройства, защото:

• работят постоянно;
• имат достъп до домашната среда;
• събират аудио и видео;
• често се използват в детски стаи;
• са свързани към облачни услуги 24/7.

При компрометиране последствията могат да включват:

• неоторизирано наблюдение;
• изтичане на лични данни;
• проследяване на местоположение;
• профилиране на домакинства;
• достъп до домашната мрежа.

Какво могат да направят потребителите

Експертите препоръчват:

• незабавно обновяване на фърмуера;
• смяна на паролите;
• активиране на двуфакторна автеникация, ако е налична;
• ограничаване на достъпа на устройствата до вътрешната мрежа;
• проверка дали използваното приложение е свързано с платформата на Meari;
• избягване на евтини IoT устройства с неясен произход и липса на дългосрочна поддръжка.