A czy Ty wpiąłeś już swoje łóżko w oddzielnego VLANa?

Urządzenia Internetu Rzeczy, z jakiegoś powodu nazywane “smart” zaczynają już denerwować ludzi zajmujących się bezpieczeństwem (w tym nas). Nie bez powodu powstało powiedzenie, że literka “S” w skrócie IoT pochodzi od “Security”. O niskiej jakości zabezpieczeń zabawek dla dzieci pisaliśmy już jakiś czas temu, ale to tylko kropla w morzu problemów urządzeń IoT. Tym razem przedstawiamy problem na jaki natknął się Dynal (InsecureNature) przyglądając się swojemu łóżku od Eight Sleep.

TLDR:

• Badacz bezpieczeństwa mający problemy z bezsennością postanowił przyjrzeć się “smart” materacowi, który umożliwia np. zdalną kontrolę temperatury.
• Urządzenie nie działa bez dostępu do Internetu.
• Autor znaleziska odkrył klucze AWS w firmware swojego łóżka a także backdoora, który pozwalał każdemu pracownikowi firmy zalogować się do łóżek klientów.. przez SSH

Można zadać pytanie, jak zacząć proces audytowania urządzenia jakim jest smart łóżko. Odpowiedź jest prosta – tak samo jak każdego innego routera czy smart zabawki. Firmware pozyskać można np. zrzucając pamięć urządzenia lub po prostu korzystając z sieciowych zasobów producenta serwujących aktualizacje (np. tu https[:]//update-api[.]8slp[.]net/v1/updates/p1/1?deviceId=101&currentRev=1). Czasami trzeba poświęcić nieco więcej czasu, ze względu na szyfrowanie. Tutaj nie mamy informacji, aby takie działania były potrzebne. 

Przeglądając zawartość filesystemu, natrafić można na pliki konfiguracyjne, zawierające szczegóły, takie jak klucze API do chmury Amazona. Prawda, że jest to niezbędne w każdej poduszce?

Oprócz tego, badacz znalazł publiczny klucz ssh w pliku authorized_keys. Może początkowo nie jest to informacja mocno niepokojąca, wszak żeby wykorzystać ten klucz inżynierowie Eight Sleep musieliby mieć dostęp do otwartego portu urządzenia, czyli znajdować się w tej samej sieci lub skorzystać z forwardowania portów. Nic bardziej mylnego, analiza dalszych plików konfiguracyjnych pokazuje, że korzystając z usługi chmurowej, SSH było wystawione dla pracowników firmy przez API zdalnego dostępu.

To powoduje, żę pracownicy firmy mogli logować się do urządzeń klientów, które takiej aktywności nie logowały. Co dawał taki dostęp? Możliwość kontrolowania wszystkich funkcji takich jak ustawienia temperatury, wibracji czy alarmu. Oprócz tego możliwe było odczytanie metadanych z urządzenia takich jak informacja o tym, czy ktoś teraz znajduje się w łóżku. Ciekawa informacja, szczególnie dla tych, którzy chcieliby nie być niepokojeni przez właściciela podczas okradania domu. A poza tym – przejęcie kontroli nad łóżkiem (które nie znajduje się w wyizolowanej sieci), może stanowić przyczółek pozwalający na dalsze pivotowanie się do sieci ofiary. 

Co na to firma? Po zgłoszeniu informacji o opublikowanych kluczach API, Eight Sleep natychmiast unieważniło klucze. Na ten moment ciężko stwierdzić, na co pozwalały. Jak zauważa badacz – ich publikacja mogła skutkować od nabicia niedużego rachunku firmie (w najlepszym przypadku), do kontroli pewnych usług w infrastrukturze chmurowej oraz dostępu do danych klientów. 

Czego uczy ta sytuacja? Przede wszystkim pokazuje po raz kolejny, że producenci nie stosują się do najlepszych praktyk i wymagane jest podejście wynikające z zasady ograniczonego zaufania co do wszelakich produktów IoT. Sensowne wydaje się wydzielenie separowanej sieci na takie urządzenia oraz kontrolowanie ruchu wchodzącego i wychodzącego z takiego VLANa. Nie zaszkodzi rozważenie całkowitego odcięcia od Internetu (co akurat w omawianym przypadku nie mogło zostać zrealizowane). Na szczęście często powstają rozwiązania znacznie bardziej przychylne prywatności użytkownika takie jak Free Sleep. A czy Wy, zrobiliście już aktualizację firmware łóżka i sprawdziliście konfigurację jego firewalla? 

~fc