I dispositivi web-enabled sono diventati da tempo compagni indispensabili in molte aziende e famiglie. Gli assistenti vocali intelligenti, la tecnologia intelligente degli edifici e i sistemi di comunicazione digitale promettono una maggiore comodità ed efficienza. Tuttavia, le API attraverso le quali questi utili aiutanti comunicano hanno spesso gravi lacune di sicurezza.
Al fine di abilitare le funzioni intelligenti, i dispositivi IoT non sono solo dotati di un sofisticato sistema di controllo e spesso decine di applicazioni diverse, ma sono anche solitamente collegati a un server del rispettivo produttore. Questo assicura che i dati di tutti i dispositivi attivi siano raccolti e valutati centralmente nelle applicazioni cloud. Questo dà ai sistemi che sono in realtà abbastanza semplici una sorta di intelligenza artificiale che utilizza i valori empirici di tutti i dispositivi per ottimizzare i singoli processi di lavoro.
Questo è proprio ciò che può causare problemi, come mostra un caso attuale del team di ricerca Checkmarx. I ricercatori, che in passato hanno scoperto vulnerabilità di sicurezza in Alexa di Amazon, la fotocamera degli smartphone di Google e Samsung e il tablet per bambini LeapPad, hanno ora documentato quanto possano essere pericolosi i presunti innocui sistemi di smart home e smart office. In precedenza, i ricercatori di sicurezza avevano esaminato i dispositivi IoT in casa, tra cui l'aspirapolvere robot Ironpie M6 di Trifo. Il robot aspirapolvere controllato da app ha una telecamera incorporata che permette agli utenti di guardare nella propria casa in qualsiasi momento tramite l'app. Il team di Checkmarx ha trovato gravi vulnerabilità nelle interfacce di programmazione delle applicazioni (API) tra il dispositivo, l'app Android e la connessione al server backend.
Le vulnerabilità in dettaglio
Nell'indagine, i ricercatori non solo hanno trovato diverse vulnerabilità in una volta, ma hanno anche documentato pratiche di codifica insicure. Mentre alcune vulnerabilità hanno solo un basso potenziale di rischio in pratica, altre sono già da classificare come significativamente più gravi. Questo è particolarmente vero in considerazione del fatto che l'aspirapolvere robot è ancora commercializzato come un prodotto di sicurezza.
Nell'indagine sono state trovate lacune in tutti e tre i componenti del sistema:
- nell'app Android
- nell'interazione con il sistema cloud nel backend
nell'aspirapolvere stesso
Aggiornamento non sicuro
In termini di programmazione, l'app Trifo Android (Trifo Home) può essere sicuramente classificata come sicura. È conforme alle linee guida attuali e la sua codifica è anche solidamente eseguita. Secondo i ricercatori, il suo punto debole sta nella procedura di aggiornamento. L'aggiornamento non viene effettuato tramite il Google Play Store, come avviene di solito, ma tramite un server di terze parti che utilizza richieste HTTP. Gli attaccanti possono intercettare la richiesta e abusarne per installare codice maligno sul computer dell'utente. Le possibilità di un'app manipolata in questo modo sono quindi quasi illimitate per i criminali informatici.
L'accesso remoto MQTT apre le porte agli hacker
MQTT (Message Queuing Telemetry Transport) è un protocollo di risparmio dati che permette ai dispositivi IoT di trasmettere dati telemetrici anche in reti a banda stretta. Nel caso dell'aspirapolvere robot, i server MQTT di supporto fungono da ponte tra l'aspirapolvere Trifo, i server di backend e l'applicazione Trifo Home. I server sono utilizzati per elaborare gli eventi dai robot di aspirazione distribuiti, che vengono poi trasmessi all'interfaccia grafica dell'app Trifo Home corrispondente. Il problema: il sistema non ha un meccanismo di autenticazione sufficientemente sicuro. Questo permette ad un attaccante di connettersi ai server MQTT. Per farlo, ha solo bisogno di un ID client arbitrario, che può essere estrapolato con relativa facilità dai dati esistenti.
Mentre l'app Android del produttore usa MQTT via SSL, l'aspirapolvere robot stesso si connette prima ai server MQTT tramite una connessione non criptata e scambia alcuni pacchetti apertamente. Solo allora il carico effettivo di MQTT viene criptato. Questo è problematico, perché è proprio questo che permette agli aggressori di calcolare qualsiasi ID client. Con questa conoscenza, può quindi monitorare il traffico di dati dell'Ironpie per impadronirsi di qualsiasi indirizzo MAC e quindi reindirizzare i dati ai propri sistemi. Questi dati includono anche la cosiddetta dev_key, che può essere usata per decifrare tutto il traffico. Con queste informazioni, l'hacker è quindi in grado di impersonare un server MQTT e ottenere il pieno controllo dell'hoover.
Completa conoscenza
Attraverso MQTT, l'attaccante ha quindi accesso completo a quasi tutte le informazioni. Questo include, per esempio, l'SSID della rete a cui il robot aspirapolvere è collegato, il suo indirizzo IP interno, il suo indirizzo MAC e altri dati. Questo permette ad un attaccante di generare una chiave che gli permette di accedere al feed video di tutti gli aspirapolvere Ironpie attivi, indipendentemente da dove si trovano. Nulla ora impedisce di spiare interi edifici e i loro occupanti e di creare planimetrie delle case altrui.
Anche se Checkmarx ha già informato il produttore delle vulnerabilità, queste non sono ancora state risolte. I fornitori e i produttori devono concentrarsi maggiormente sulla sicurezza dei loro dispositivi per proteggere in modo affidabile gli utenti e i loro dati.
Conclusione
Nel corso della digitalizzazione e dell'IoT, il numero di dispositivi intelligenti e abilitati al web in ambienti privati e professionali sta aumentando rapidamente. Tuttavia, i produttori non devono scendere a compromessi sulla sicurezza del software e delle interfacce dei dispositivi per portare rapidamente i loro prodotti sul mercato. Al fine di rilevare ed eliminare le lacune di sicurezza nel codice in una fase iniziale, è particolarmente importante aderire alle linee guida OWASP sulle migliori pratiche nell'area della sicurezza delle API. In ambienti critici con alti volumi di codice, è anche consigliabile utilizzare una piattaforma dedicata alla sicurezza del software che monitorizzi il codice e i componenti open source integrati durante l'intero SDLC.
Chi è l'autore: Brad Wolfe è Sales Engineering Manager del fornitore di sicurezza del software Checkmarx.