Roboty odkurzające firmy Shark podłączone do chmury są obecnie narażone na niezałatany błąd w polityce bezpieczeństwa AWS (Amazon Services) dotyczącej IoT (Internetu rzeczy), który może sprawić, że jedno zainfekowane urządzenie stanie się „uniwersalnym kluczem” umożliwiającym zdalne sterowanie wieloma innymi urządzeniami w tym samym regionie, zapewniając dostęp do kamer, map i haseł do sieci Wi-Fi.
Badacz posługujący się pseudonimem tokay0 rozmontował odkurzacz automatyczny Shark RV2320EDUS i odkrył, że wbudowany w niego certyfikat AWS IoT umożliwia mu publikowanie i subskrybowanie tematów dotyczących dowolnego urządzenia marki Shark w tym samym regionie AWS, a nie tylko samego siebie.
Region AWS to odrębna lokalizacja geograficzna, w której Amazon swoje centra danych w chmurze. Każdy region AWS jest całkowicie odizolowany od pozostałych. Obecnie na całym świecie istnieje 39 regionów AWS.
Zgodnie z założeniami platformy AWS udostępnia „cienie” dla poszczególnych urządzeń, w których przechowywane są informacje o stanie, takie jak konfiguracja i polecenia. Jednak zbyt liberalna polityka Shark dotycząca protokołu MQTT (Message Queuing Telemetry Transport) pozwala skradzionemu certyfikatowi nawiązywać łączność również z „cieniami” innych odkurzaczy.
Mówiąc najprościej, oznacza to, że każdy odkurzacz powinien mieć swoją prywatną „skrzynkę odbiorczą” w chmurze. Ponieważ zasady działania chmury firmy Shark są zbyt ogólne, certyfikat skradziony z jednego odkurzacza może również wysyłać polecenia do skrzynek odbiorczych innych odkurzaczy.
Chociaż certyfikat został pobrany z urządzenia Vacuum przy użyciu fizycznego dostępu i konsoli debugowania – co oznacza, że początkowe przejęcie kontroli wymaga bezpośredniego dostępu – dalsze nadużycia mają charakter zdalny i odbywają się w chmurze.
Dla właścicieli nie chodzi tu tylko o to, że ktoś włącza odkurzacz o 3:00 nad ranem. Według badacza osoba atakująca posiadająca taki dostęp do chmury mogłaby:
- Oglądaj obraz z kamery odkurzacza, zamieniając go w mobilne urządzenie monitorujące w Twoim domu.
- Wykradnij hasło do sieci Wi-Fi, które – jak twierdzi badacz – jest przechowywane w postaci zwykłego tekstu, co potencjalnie może zapewnić mu dostęp do Twojej sieci lokalnej.
- Skopiuj mapę domu utworzoną przez odkurzacz, przedstawiającą rozkład pomieszczeń oraz częstotliwość korzystania z poszczególnych obszarów.
Już wcześniej mieliśmy okazję przekonać się, jak „inteligentne” odkurzacze mogą stanowić zagrożenie dla prywatności i bezpieczeństwa, gdy producenci oszczędzają na zabezpieczeniach. Labs Malwarebytes Labs , w jaki sposób odkurzacze roboty firmy Ecovacs mogą zostać przejęte w celu odtwarzania nieprzyzwoitych komunikatów i szpiegowania użytkowników za pośrednictwem głośników i czujników, pokazując, jak szybko pomocne urządzenie gospodarstwa domowego może stać się niepożądanym gościem w domu.
Korzystając z certyfikatu z własnego środowiska testowego, badacz był w stanie monitorować ruch z urządzeń Shark w tym samym regionie AWS i ustalić, które z nich obsługują zdalne wykonywanie poleceń. W ciągu 24 godzin w jednym regionie AWS badacz zaobserwował 1 517 605 unikalnych numerów seryjnych urządzeń Shark i stwierdził, że 673 816 urządzeń (około 44%) zareagowało w sposób wskazujący na obsługę funkcji zdalnego wykonywania poleceń.
Badacz napisał:
„Trudno jest oszacować dokładną liczbę urządzeń, których to dotyczy, a jeszcze trudniej ustalić, które z nich posiadają nieprawidłowo skonfigurowane certyfikaty umożliwiające publikowanie treści na różnych urządzeniach”.
Doszedł jednak do następującego wniosku:
„Ta luka w zabezpieczeniach dotyczy bardzo dużej liczby urządzeń SharkNinja z obsługą IoT”.
Jak zachować bezpieczeństwo
Głównym problemem w tej sprawie jest polityka po stronie chmury, która nie jest wystarczająco rygorystyczna. To sprawia, że jest to problem po stronie serwera, a nie błąd oprogramowania układowego, który można samodzielnie naprawić.
Według badacza firma SharkNinja nie usunęła tej luki w zabezpieczeniach, mimo że została o niej poinformowana ponad sześć miesięcy temu. Dopóki sytuacja się nie zmieni, właściciele powinni:
- Należy wywrzeć presję na firmę Shark, aby rozwiązała ten problem.
- Wyłącz sterowanie zdalne odkurzacza lub odłącz go od sieci Wi-Fi, jeśli nie potrzebujesz jego funkcji inteligentnych.
- Śledź komunikaty firmy Shark dotyczące poprawek, numerów CVE lub wycofania produktów z rynku.
Przeglądaj, jakby nikt nie patrzył.
Malwarebytes Privacy VPN Twoje połączenie i nigdy nie rejestruje Twojej aktywności, dzięki czemu kolejna przeczytana przez Ciebie wiadomość nie będzieCię osobiście dotykać.Wypróbuj za darmo →




