Исследователь обнаружил, что садовые роботы Yarbo содержали целый ряд уязвимостей, которые, в частности, позволяли злоумышленнику перехватывать WiFi .
Исследователь в области безопасности Андреас Макрис обнаружил, что может удаленно взломать тысячи садовых роботов Yarbo по всему миру, и доказал это, заставив свою косилку переехать себя. Основной причиной послужил целый ряд устаревших конструктивных решений: все роботы использовали один и тот же жестко запрограммированный пароль root, удаленные каналы связи оставались открытыми, а протокол обмена сообщениями MQTT (Message Queuing Telemetry Transport) был настолько слабо защищен, что, получив доступ к одному устройству, можно было фактически получить контроль над всем мировым парком роботов.
Злоумышленник может получить доступ к GPS-координатам, адресам электронной почты и паролям Wi-Fi, превратить камеры в средства удаленного слежения и даже запустить газонокосилку заново после того, как кто-то нажал кнопку аварийной остановки.
Все это стало возможным благодаря постоянно действующему туннелю-бэкдору, который пользователи не могли ни увидеть, ни как-либо контролировать. Риски можно разделить на три совершенно разных категории:
- Тяжелая косилка с дистанционно управляемыми ножами и функцией аварийной остановки, которую можно отключить, представляет реальную угрозу безопасности.
- Открытый доступ к телеметрическим данным позволял злоумышленникам определять местонахождение устройств, выяснять, кому они принадлежат, а, судя по некоторым сообщениям, даже просматривать изображение с камер.
- Злоупотребление сетевыми правами доступа с помощью общих учетных данных root позволяло взломанным роботам сканировать локальные сети, похищать дополнительные данные или входить в состав ботнета.
Публичное заявление компании Yarbo необычайно подробно для поставщика потребительских решений в сфере Интернета вещей (IoT). Кроме того, в нем с приятной прямотой признается, что основные выводы исследователя оказались верными. Компания временно отключила каналы удаленной диагностики, сбросила пароли root, заблокировала неавторизованные конечные точки и приступила к ликвидации ненужных устаревших путей доступа.
Что еще более важно, Ярбо обещает структурные изменения:
- Уникальные учетные данные для каждого устройства.
- Ротация учетных данных по беспроводному каналу (OTA).
- Проверенная удаленная диагностика на основе списка разрешенных устройств.
- Контактное лицо по вопросам безопасности; в дальнейшем возможно введение программы поощрения за обнаружение уязвимостей.
Именно такую долгосрочную «гигиену» безопасности мы редко видим изложенной столь четко после провалов в сфере Интернета вещей.
С точки зрения раскрытия информации и устранения уязвимостей компания Yarbo действует во многом правильно: она указывает имя исследователя, приносит извинения, уделяет приоритетное внимание исправлению уязвимостей и доступно объясняет как краткосрочные исправления, так и долгосрочные изменения архитектуры. Для покупателей подключенных устройств с модулями Blade такой уровень прозрачности является положительным прецедентом.
Однако компания Yarbo сознательно решила сохранить туннель удаленного доступа, хотя и снабдив его более совершенными средствами контроля и ведением журналов, вместо того, чтобы предоставить пользователям возможность удалить его или полностью отказаться от его использования.
Как обеспечить безопасность устройств Интернета вещей
Уязвимости, выявленные в деле Yarbo, служат практически наглядной демонстрацией того, чему призван предотвратитьЗакон о совершенствовании кибербезопасности в сфере Интернета вещей (IoTCybersecurity Improvement Act) при внедрении систем в государственных учреждениях США. Хотя этот закон напрямую не распространяется на компанию Yarbo, его требования, разработанные Национальным институтом стандартов и технологий (NIST), в полной мере соответствуют тому, что пошло не так в данном случае.
Итак, пользователи по-прежнему должны убедиться, что:
- Измените учетные данные по умолчанию.
- Перед покупкой продукта для Интернета вещей (IoT) убедитесь, что производитель будет выпускать обновления и насколько просто их устанавливать. А затем устанавливайте обновления по мере их появления.
- Если возможно, подключите свои устройства IoT к отдельной сети. По возможности используйте гостевую сеть Wi-Fi или отдельную VLAN.
- Отключите то, что вам не нужно. Отключите UPnP, удаленный доступ, управление через облако и ненужные службы, если вы ими активно не пользуетесь.
- Если ваш маршрутизатор или пакет программ для обеспечения безопасности регистрирует подключения устройств Интернета вещей, просмотрите эти журналы на предмет необычных всплесков активности или неизвестных адресов назначения.
Давайте посмотрим правде в глаза: окно в режиме инкогнито имеет свои ограничения.
Утечки данных, торговля в даркнете, мошенничество с кредитными картами. Malwarebytes Identity Theft отслеживает все эти угрозы, оперативно предупреждает вас и включает в себя страховку от кражи личных данных.
