Anwendungsschwachstellen machen IoT-Geräte angreifbar

IoT-Geräte waren auch in dieser Weihnachtszeit wieder beliebte Geschenke. IoT, ein Akronym für Internet of Things, ist mehr als ein Schlagwort. Der Trend stellt eine enorme Veränderung in der Art und Weise dar, wie Produkte hergestellt und verwendet werden, da Produkte, die zuvor nicht für diese Funktionalität vorgesehen waren, um Netzwerkkonnektivität erweitert werden.

Also Ihr Kühlschrank, der Ihnen eine SMS schickt, wenn Sie keine Milch mehr haben:IoT. Ihr Thermostat, der Nutzungsdiagramme auf Ihrem Telefon bereitstellt:ja, IoT. Grundsätzlich gilt jedes Verbrauchergerät, das sich mit einem anderen Netzwerk als einem Computer, Telefon, Tablet oder Router verbinden kann, als IoT-Gerät, sagt Fleming Shi, CTO von Barracuda Networks.

Sicherheit war jedoch bei IoT-Geräten ein großes Anliegen. Obwohl Verbesserungen vorgenommen wurden, bleiben neue Arten von Schwachstellen bestehen. Die Teams von Barracuda Labs haben beispielsweise kürzlich eine IoT-Sicherheitskamera verwendet, um eine neue Bedrohung zu veranschaulichen:die Kompromittierung von IoT-Anmeldeinformationen, die Sicherheitslücken im Web und in mobilen Anwendungen nutzt, um IoT-Geräte zu kompromittieren.

Kompromittierung von IoT-Anmeldedaten

Angreifer können Schwachstellen in den Webanwendungen und mobilen Anwendungen nutzen, die von bestimmten IoT-Geräten verwendet werden, um Anmeldeinformationen zu erhalten, die dann verwendet werden können, um den Video-Feed anzuzeigen, Alarme einzustellen/empfangen/löschen, gespeicherte Videoclips aus dem Cloud-Speicher zu entfernen und Kontoinformationen auszulesen . Angreifer können die Anmeldeinformationen auch verwenden, um ihr eigenes Firmware-Update auf das Gerät zu übertragen, seine Funktionalität zu ändern und das kompromittierte Gerät zu verwenden, um andere Geräte im selben Netzwerk anzugreifen.

Die Details

Um diese Bedrohung zu veranschaulichen, die Barrakudas Das Labs-Team hat kürzlich Untersuchungen zu einer angeschlossenen Sicherheitskamera durchgeführt und mehrere Schwachstellen in der Web-App und dem Ökosystem der mobilen App identifiziert:

• Mobile App ignoriert die Gültigkeit des Serverzertifikats
• Cross-Site-Scripting (XSS) in der Web-App
• Dateitraversal in einem Cloud-Server
• Link zur Geräteaktualisierung durch den Nutzer
• Geräteupdates sind nicht signiert
• Gerät ignoriert die Gültigkeit des Serverzertifikats

Mithilfe dieser Schwachstellen konnte das Team die folgenden Angriffe ausführen, um Anmeldeinformationen zu erlangen und ein IoT-Gerät zu kompromittieren, und das alles ohne eine direkte Verbindung zum Gerät selbst.

Anmeldedaten von der mobilen App abrufen

Wenn ein Angreifer den Datenverkehr zur mobilen App mithilfe eines kompromittierten oder feindlichen Netzwerks abfangen kann, kann er leicht an das Benutzerkennwort gelangen. So funktioniert es:

1. Das Opfer verbindet sich mit einem Mobiltelefon mit einem kompromittierten/feindlichen Netzwerk.

2. Die verbundene Kamera-App versucht, sich über https mit den Servern des Anbieters zu verbinden.

3. Das feindliche/kompromittierte Netzwerk leitet die Verbindung zum Server des Angreifers, der sein eigenes SSL-Zertifikat verwendet und die Kommunikation an den Server des Anbieters weiterleitet.

4. Der Server des Angreifers enthält jetzt einen ungesalzenen MD5-Hash des Benutzerpassworts.

5. Der Angreifer kann auch die Kommunikation zwischen dem Server des Anbieters und der App manipulieren.

Anmeldedaten von der Web-App abrufen

Diese Art von Angriff basiert auf Funktionen, die es Benutzern ermöglichen, den Gerätezugriff auf die verbundene Kamera mit anderen Benutzern zu teilen. Um ein Gerät zu teilen, muss der Empfänger ein gültiges Konto beim IoT-Anbieter haben und der Absender muss den Benutzernamen des Empfängers kennen, der zufällig eine E-Mail-Adresse ist.

1. Der Angreifer bettet einen XSS-Exploit in einen Gerätenamen ein und teilt dieses Gerät dann mit dem Opfer.

2. Sobald sich das Opfer über die Web-App bei seinem Konto anmeldet, wird der XSS-Exploit ausgeführt und das Zugriffstoken (das als Variable in der Web-App gespeichert ist) mit dem Angreifer geteilt.

3. Mit diesem Zugriffstoken kann der Angreifer auf das Konto des Opfers und alle seine registrierten Geräte zugreifen.

Durch diese Forschung gelang es dem Team von Barracuda Labs, ein IoT-Gerät (verbundene Kamera) ohne direkte Verbindung zum Gerät selbst zu kompromittieren. Das macht Angreifern das Leben leichter. Kein Scannen mehr auf Shodan  für anfällige Geräte.

Stattdessen wird der Angriff gegen die Infrastruktur des Anbieters durchgeführt. Es ist eine Bedrohung, die auch andere Arten von IoT-Geräten betreffen könnte, unabhängig von ihrer Funktion, da sie die Art und Weise nutzt, wie das Gerät mit der Cloud kommuniziert.

Denn Fehler sind nicht produktimmanent, sondern Prozesse, Fähigkeiten und das Bewusstsein der Entwickler. Mit der Verlagerung von Zugriffs- und Zugriffskontrollen für IoT-Geräte auf Cloud-Dienste haben sich auch die Schwachstellen geändert, wodurch die vom Barracuda Labs-Team aufgedeckten Arten von Angriffen möglich wurden.

Lektionen für IoT-Hersteller

Anbieter von IoT-Lösungen müssen alle Aspekte der Anwendungen schützen, die zum Ausführen dieser Geräte verwendet werden. IoT-Geräte sind Sensoren, die in Wohnungen, Schulen und Büros verteilt sind und potenzielle Einstiegspunkte für Angreifer darstellen. Das Netzwerk jedes Kunden ist eine Öffnung zum Serverkern und zu anderen Kunden.

Eine Webanwendungs-Firewall, einer der wichtigsten Schutzmaßnahmen, die IoT-Anbieter implementieren müssen, soll Server vor HTTP-Traffic auf Schicht 7 schützen. Hersteller müssen außerdem den Schutz vor Angriffen auf Netzwerkebene und Phishing erhöhen.

Cloud-Sicherheit ist ebenfalls wichtig, da sie Sichtbarkeit, Schutz und Behebung von IoT-Anwendungen und der Infrastrukturen, auf denen sie ausgeführt werden, bietet. Das Risiko einer Gefährdung durch seitliche Bewegungen ist groß und komplex, daher ist es wichtig, geeignete Sicherheitsvorkehrungen zu treffen.

So schützen Sie sich als Verbraucher

Beim Kauf eines IoT-Geräts müssen Verbraucher neben Komfort und Preis auch an die Sicherheit denken. Hier sind ein paar Tipps, die Sie beachten sollten:

• Recherche beim Gerätehersteller — Einige Unternehmen, die IoT-Geräte herstellen, verstehen Softwaresicherheit. Bei den meisten handelt es sich entweder um bestehende Unternehmen, deren Expertise in der Herstellung der zu verbindenden physischen Produkte liegt, oder um Start-ups, die versuchen, Geräte so schnell wie möglich auf den Markt zu bringen. In beiden Fällen werden die richtigen Software- und Netzwerksicherheitsmaßnahmen oft übersehen.
• Suchen Sie nach vorhandenen Sicherheitslücken auf den anderen Geräten eines Anbieters  — Wenn ein Gerät eine Sicherheitslücke aufweist, sind wahrscheinlich auch andere Geräte mit ähnlichen Funktionen desselben Unternehmens anfällig. Letztendlich wird ein Anbieter, der über eine lange Geschichte sicherer Geräte verfügt, in Zukunft wahrscheinlich sichere Geräte bauen.
• Evaluieren Sie Reaktionen auf vergangene Sicherheitslücken  — Wenn ein Anbieter auf Personen reagiert, die eine Sicherheitslücke melden, und diese schnell mit einem Firmware-Update behebt, ist dies ein gutes Zeichen für seine Einstellung zur Sicherheit und zukünftigen Produkten, die er herstellt.

Leider ist die Menge an verfügbaren Informationen über die Sicherheitslage von IoT-Geräten erstaunlich gering. Im Idealfall müssen wir eine Welt schaffen, in der IoT-Produkte alle mit einer Sicherheitsbewertung bewertet werden, genau wie Autos. Verbraucher sollten informiert werden, bevor sie in IoT-Geräte investieren.

Der Autor dieses Blogs ist Fleming Shi, CTO von Barracuda Networks