Istraživači su otkrili brojne ozbiljne nedostatke u IoT uređajima za praćenje koji su povezani s mobilnim uređajima.
Tim istraživača iz Rapid7 otkrio je niz kritičnih sigurnosnih propusta pronađenih unutar Interneta stvari (IoT) i povezanih kućnih uređaja.
Predmetni proizvodi su TrackR Bravo od TrackR-a, laganog tragača veličine novčića koji koristi Bluetooth i GPS tehnologiju kako bi vam pomogao pronaći nestale predmete kao što su ključevi, iTrack Easy od KKMCM i Tragač oraha iz Zizai Tech.
Iako su ovi uređaji kompatibilni s Appleovim iOS i Googleovim mobilnim operativnim sustavima Android, greške su pronađene u verzijama aplikacija koje su prikladne za iPad i iPhone.
Rapid7 rekao je u utorak TrackR Bravo sadrži ukupno četiri važna sigurnosna pitanja. Kada radi na iPadu, mobilna aplikacija TrackR Bravo pohranjuje lozinku računa koja se koristi za autentifikaciju u oblaku APUI u jasnom tekstu, a da stvar bude još gora, aplikacija također omogućuje neovlašteni pristup GPS podacima, bilo da su upitani ili poslao.
Zlonamjerni napadači mogu pristupiti ovim podacima iz bilo kojeg web preglednika bez korisničkih vjerodajnica.
"Čini se da se autentifikacija koristi samo za sinkronizaciju podataka natrag na vašu mobilnu aplikaciju tijekom instalacije/ponovne instalacije aplikacije", primjećuju istraživači.
Osim toga, i ID praćenja uređaja je izložen i može se dobiti putem Bluetootha ako je napadač u blizini, a budući da TrackR Bravo dopušta neovlašteno uparivanje, napadači se mogu povezati s uređajem radi izmjene podaci.
Postoji pet sigurnosnih pitanja koja se odnose na iTrack Easy. ID za praćenje uređaja može se ugrabiti bez dopuštenja kada je u neposrednoj blizini iTrack-a putem Bluetootha, uređaj se može neispravno registrirati pod više korisničkih računa -- koji zatim omogućuje napadačima da dobiju pristup GPS podacima kada su uređaji u neposrednoj blizini jedni drugima kako bi pratili korisnike -- a te se informacije mogu mijenjati bez autentifikacije provjere.
Uređaj također ima problema s upravljanjem sesijom. Kolačići sesije ne koriste se za održavanje važećih korisničkih sesija, a ako su ti podaci uhvaćeni putem Man-in-The-Middle (MiTM) napada, mogu se koristiti za kompromitiranje korisničkog računa.
Osim toga, lozinke računa koje se koriste za autentifikaciju u oblaku su kodirane i loše pohranjene.
Utvrđeno je da Zizai Techov Nut tracker sadrži tri sigurnosna propusta. Prvi, sadržan u mobilnoj aplikaciji Nut iPad, uzrokovan je činjenicom da aplikacija pohranjuje lozinke računa u čistom tekstu.
Drugi problem je ranjivost koja omogućuje curenje tokena sesije zbog komunikacije između weba i aplikacije koja se odvija kroz nezaštićeni, ne-SSL tunel. Napadači bi mogli iskoristiti ovaj nedostatak za pokretanje MiTM napada kako bi uhvatili te podatke i dobili puni pristup korisničkim računima.
Posljednji bug je problem uzrokovan aplikacijom Nut koja dopušta neautentificiranim Bluetooth uređajima da zapišu atribute naziva uređaja. Ovo omogućuje promjenu naziva uređaja onima koji nisu registrirani korisnici.
Tile Inc Pločica tracker je također ispitan, ali nije imao nikakvih većih sigurnosnih problema osim problema s predmemoriranjem snimaka zaslona koji istraživači smatraju "manjim".
CVE brojevi tek trebaju biti dodijeljeni za otkrivene sigurnosne probleme.
Ovi uređaji za praćenje mogu biti mali, bezopasni IoT uređaji, ali rizik za sigurnost u cjelini problem je koji bi dobavljači trebali shvatiti ozbiljno. Kao što je nedavni slučaj Mirai botnet je pokazao, najmanji IoT uređaji mogu se iskoristiti kroz ranjivosti za rušenje daleko većih ciljeva.
Kako stvoriti pametan, povezan dom bez trošenja bogatstva
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće