Neu veröffentlichte Sicherheitsforschungen deuten darauf hin, dass eine bestimmte Marke von Smart-Home-Geräten Software-Schwachstellen aufweist, die es einem versierten Hacker ermöglichen könnten, sie vollständig zu kapern.
Das betreffende Unternehmen, Nexx, verkauft eine Vielzahl von IoT-Produkten, darunter mit dem Internet verbundene Garagentore, Alarme und Wandstecker. Alle diese Produkte sind so konzipiert, dass sie mit der App von Nexx gekoppelt werden können, die es Benutzern ermöglicht, ihre häusliche Umgebung aus der Ferne zu überwachen und zu steuern. Das mag alles schön und gut klingen, aber unglücklicherweise scheinen kürzlich entdeckte Softwarefehler in der Gerätesuite von Nexx für jeden, der sie verwendet, große Probleme zu bedeuten.
Sam Sabetan, der Sicherheitsforscher, der auf das kleine Problem von Nexx gestoßen ist, sagt, dass die Fehler es einem schlechten Schauspieler ermöglichen könnten, jedes einzelne Produkt des Unternehmens vollständig zu kapern. Klingt ziemlich dramatisch, oder? Laut Sabetan’s kürzlich veröffentlichte Forschung, könnte eine ordnungsgemäße Ausnutzung der Schwachstellen es einer Person ermöglichen, auf die persönlichen Daten aller Nexx-Kontoinhaber zuzugreifen – einschließlich E-Mail-Adressen, Vornamen, Nachnamen und Geräte-IDs. Noch schockierender ist, dass der bereitgestellte Zugang es einem versierten Cyber-Handlanger ermöglichen könnte, alle mit Nexx verbundenen Geräte zu manipulieren. Das bedeutet die Möglichkeit, Garagentore nach Belieben zu öffnen und zu schließen, Alarme ein- und auszuschalten und Steckdosen zu deaktivieren.
Am schlimmsten ist, dass Sabetan behauptet, Nexx mehrmals wegen der Fehler kontaktiert zu haben, sagt aber, dass das Unternehmen das Problem nicht anerkennen will.
Das Passwortproblem von Nexx
Alle Sicherheitsprobleme von Nexxs scheinen zurückzuverfolgen zu einem problematischen Passwort, auf das Sabetan gestoßen ist, als er das Unternehmen untersuchtes Datenschutz. Sabetan sagt, er habe anfangs verwendet Burp-Suite, ein Sicherheitstesttool, um den Datenverkehr zu und von seinem eigenen Nexx-Gerät abzufangen. Beim Durchsuchen dieses Datenverkehrs stieß Sabetan auf etwas, das … nicht großartig zu sein schien: das oben erwähnte Passwort, das unverschlüsselt und ungeschützt war und frei in der API der App schwebte. Wie sich herausstellte, war es ein ziemlich wichtiger.
Um die Bedeutung dieses Passworts zu verstehen, müssen Sie sich ansehen, wie IoT-Geräte normalerweise mit ihren Benutzern kommunizieren. In diesem Fall werden die intelligenten Geräte von Nexx von einem Netzwerkprotokoll namens MQTT, kurz für, betrieben Message Queuing-Telemetrietransport. MQTT, das häufig in IoT-Produkten verwendet wird, kann Nachrichten zu und von einem Benutzer, seinem Gerät und der Cloud-Infrastruktur des jeweiligen Unternehmens übertragen. Im Fall von Nexx war das Protokoll dafür verantwortlich, Befehle zwischen allen dreien (d. h. dem Benutzer, dem Gerät und der Cloud) zu senden – einschließlich Befehlen wie dem Öffnen eines Garagentors oder dem Ertönen eines Alarms.
Hier ist der wichtige Teil: Ein Server, der normalerweise als MQTT-„Broker“ bezeichnet wird, ist dafür verantwortlich, die Daten zwischen den Parteien weiterzuleiten. Entscheidend ist, ein Passwort ist erforderlich um den MQTT-Server zu schützen, der beim Weiterleiten der Daten hilft. Idealerweise sollte es für jedes Gerät, das sich mit dem Server verbindet, ein anderes Passwort geben, sagt Sabetan. Leider scheint es im Fall von Nexx das nicht getan zu haben, sondern einfach ein Passwort für jedes einzelne Gerät zu verwenden, das sich mit seiner Cloud-Umgebung verbunden hat – dasselbe Passwort, das in der Nexx-API herumschwirrte und das ursprünglich an Sabetan gesendet wurde .
Sabetan sagt, dass der Grund dafür, dass das Schlüsselpasswort überhaupt mit dem Benutzer geteilt wird, darin besteht, dabei zu helfen, eine sichere Verbindung zwischen dem Nexx-Gerät und der Nexx-Cloud herzustellen, wenn das Gerät zum ersten Mal eingerichtet wird. Das Passwort wird zunächst von der Cloud-Umgebung des Unternehmens an das Telefon des Benutzers und dann über WLAN oder Bluetooth an das zugehörige Nexx-Smartgerät gesendet, wodurch die Verbindung hergestellt werden kann und der Benutzer die Nexx-App verwenden kann, um mit dem Gerät zu interagieren.
Mit anderen Worten, laut Sabetan ist das, was Nexx getan hat, gleichbedeutend damit, dass ein Wohnungsverwalter jedem Mieter in seinem Gebäude denselben Schlüssel aushändigt; Dieser Schlüssel bringt Sie in das Gebäude, aber er bringt Sie auch in die Einheiten aller Ihrer Nachbarn – und Ihre Nachbarn können in Ihre Einheit gelangen. So ein Schlüssel wäre auch ziemlich leicht zu stehlen, würde ich mir vorstellen.
„Bei MQTT-basierten IoT-Geräten ist es entscheidend, eindeutige Passwörter für jedes Gerät zu verwenden, um eine sichere Kommunikationsumgebung zu gewährleisten. Im Fall von Nexx wurde jedoch ein universelles Passwort für alle Geräte verwendet, wodurch die Gesamtsicherheit ihres Systems gefährdet wurde“, schreibt Sabetan in seinem Blog.
Entscheidend ist, dass der Zugriff auf den MQTT-Server es Sabetan nicht nur ermöglicht hat, den mit anderen Nexx-Kontobenutzern verbundenen Geräteverkehr anzuzeigen, sondern ihm auch erlaubt hätte, Signale an ihre Geräte zu senden, wenn er wollte (er tat dies nicht und entschied sich stattdessen für einen Test). der Exploit auf mehreren Nexx-Geräten, die er selbst gekauft hatte). Mit anderen Worten, es gab ihm die Macht, Dinge wie das Öffnen und Schließen von Garagentoren, das Ein- und Ausschalten von Alarmen und das Deaktivieren von Wandsteckern zu tun. Um zu demonstrieren, wie das funktioniert, hat Sabetan ein Video von ihm gemacht, wie er sein eigenes Garagentor aus der Ferne manipuliert, das genau erklärt, wie es geht:
Nexx antwortet nicht
In seinem Artikel erläutert Sabetan weiter die Auswirkungen der Entscheidung des Unternehmens, ein „universelles Passwort“ für alle seine IoT-Produkte zu verwenden – und nennt dies einen klaren Kompromiss der „Sicherheit“ der Benutzer:
Die Verwendung eines universellen Passworts für alle Geräte stellt eine erhebliche Schwachstelle dar, da nicht autorisierte Benutzer auf das gesamte Ökosystem zugreifen können, indem sie das gemeinsame Passwort erhalten. Dabei könnten sie nicht nur die Privatsphäre, sondern auch die Sicherheit der Kunden von Nexx gefährden, indem sie ihre Garagentore ohne deren Zustimmung kontrollieren. Das hartcodierte Passwort ist nicht nur in der API von Nexx weit verbreitet, sondern auch in der mit dem Gerät gelieferten Firmware öffentlich verfügbar.
Sabetan sagt, er habe sich mehrmals an Nexx gewandt, um die schwerwiegenden Sicherheitsprobleme zu melden – und sogar eine E-Mail an den CEO des Unternehmens gesendet –, aber keine Antwort erhalten. Auch Sabetan kontaktierte die Agentur für Cybersicherheit und Infrastruktursicherheit (oder CISA), eine Unterbehörde des Heimatschutzministeriums, die sich auf die Offenlegung von Schwachstellen konzentriert, um bei der Kontaktaufnahme mit dem Unternehmen behilflich zu sein – ohne Erfolg. Kurzum: Es sieht nicht so aus, als ob das Unternehmen daran interessiert wäre, das Problem öffentlich anzuerkennen.
„Nexx hat Kommunikationsversuche von mir, dem Heimatschutzministerium und den Medien konsequent ignoriert“, schreibt Sabatan in sein Blogbeitrag zu den Sicherheitslücken. „Gerätebesitzer sollten sofort alle Nexx-Geräte vom Stromnetz trennen und beim Unternehmen Support-Tickets erstellen, die sie auffordern, das Problem zu beheben.“ Gizmodo hat auch Nexx um einen Kommentar gebeten und wird unsere Geschichte aktualisieren, wenn das Unternehmen antwortet.
