Роботы-пылесосы Shark с подключением к облаку в настоящее время уязвимы из-за незакрытой уязвимости в политике безопасности AWS (Amazon Services) для IoT (Интернет вещей), которая может превратить одно взломанное устройство в «универсальный ключ» для удаленного управления многими другими устройствами в том же регионе, обеспечивая доступ к камерам, картам и паролям Wi-Fi.
Исследователь под ником tokay0 разобрал робот-пылесос Shark RV2320EDUS и обнаружил, что его встроенный сертификат AWS IoT позволяет публиковать и подписываться на темы для любого устройства Shark в том же регионе AWS, а не только для самого себя.
Регион AWS — это отдельное географическое местоположение, в котором Amazon свои облачные центры обработки данных. Каждый регион AWS полностью изолирован от остальных. В настоящее время в мире насчитывается 39 регионов AWS.
По замыслу AWS предоставляет «теневые копии» для каждого устройства, в которых хранятся такие данные, как конфигурация и команды. Однако чрезмерно либеральная политика Shark в отношении протокола MQTT (Message Queuing Telemetry Transport) позволяет украденному сертификату взаимодействовать также с «теневыми копиями» других пылесосов.
Проще говоря, это означает, что у каждого пылесоса должен быть свой личный «почтовый ящик» в облаке. Поскольку правила доступа к облаку у Shark слишком широки, сертификат, похищенный с одного пылесоса, может также отправлять команды в почтовые ящики других пылесосов.
Хотя сертификат был извлечен из системы «Vacuum» с помощью физического доступа и консоли отладки, что означает, что для первоначального взлома требуется физический доступ, последующее злоупотребление осуществляется удаленно и на основе облачных технологий.
Для владельцев дело не только в том, что кто-то может включить ваш пылесос в 3:00 утра. По словам исследователя, злоумышленник, имеющий такой доступ к облачному хранилищу, может:
- Смотрите изображение с камеры пылесоса, превратив его в мобильное устройство видеонаблюдения в вашем доме.
- Получить доступ к паролю Wi-Fi, который, по словам исследователя, хранится в виде открытого текста, что потенциально может дать злоумышленникам возможность проникнуть в вашу локальную сеть.
- Скопируйте карту вашего дома, созданную пылесосом, на которой отображены планировки комнат и частота использования различных зон.
Мы уже видели, как «умные» пылесосы могут представлять угрозу для конфиденциальности и безопасности, когда производители экономят на мерах безопасности. Labs Malwarebytes Labs , как роботы-пылесосы Ecovacs можно взломать, чтобы воспроизводить нецензурные сообщения и шпионить за пользователями через их динамики и датчики, продемонстрировав, как быстро полезный бытовой прибор может превратиться в нежелательного гостя в доме.
Используя сертификат, полученный в ходе собственного тестирования, исследователь смог отследить трафик с устройств Shark в том же регионе AWS и определить, какие из них поддерживают удаленное выполнение команд. За 24-часовой период в одном регионе AWS исследователь зафиксировал 1 517 605 уникальных серийных номеров устройств Shark и обнаружил, что 673 816 устройств (около 44 %) отвечали таким образом, что это указывало на поддержку функции удаленного выполнения команд.
Исследователь написал:
«Трудно оценить точное количество уязвимых устройств, а ещё сложнее выявить, на каких именно устройствах установлены эти неправильно настроенные сертификаты, позволяющие публиковать контент на других устройствах».
Однако пришли к следующему выводу:
«Эта уязвимость затрагивает очень большое количество устройств SharkNinja, подключенных к Интернету вещей (IoT)».
Как оставаться в безопасности
Основная проблема в данном случае заключается в недостаточно строгой политике на стороне облака. Поэтому речь идет о проблеме на стороне сервера, а не об ошибке прошивки, которую можно исправить самостоятельно.
По словам исследователя, компания SharkNinja так и не устранила эту уязвимость, несмотря на то что о ней было сообщено более шести месяцев назад. Пока ситуация не изменится, владельцам следует:
- Окажите давление на компанию «Shark», чтобы она устранила эту проблему.
- Отключите дистанционное управление пылесосом или отсоедините его от Wi-Fi, если вам не нужны его интеллектуальные функции.
- Следите за объявлениями компании Shark об исправлениях, уязвимостях (CVE) или отзывах продукции.
Просматривайте, как будто никто не смотрит.
Malwarebytes Privacy VPN ваше соединение и никогда не регистрирует ваши действия, поэтому следующая статья, которую вы прочитаете, не будет казатьсявам личной.Попробуйте бесплатно →




