Специалисты «Лаборатории Касперского» оценили безопасность системы Fibaro Home Center, которая обеспечивает управление умным домом. Эксперты нашли в продукте ряд уязвимостей, позволивших перехватить контроль над IoT-инфраструктурой.

Исследование инициировал один из сотрудников «Лаборатории Касперского», который установил Fibaro Home Center в своей квартире. В дальнейшем он практически не помогал взломщикам, а все сведения для подготовки атаки специалисты узнали на официальном сайте производителя.

Так, они выяснили, что системой умного дома можно управлять через портал home.fibaro.com. Изучение этого вектора атаки выявило уязвимость механизма авторизации — из-за ошибки при обработке PHP-сценария программа принимала любое значение аппаратного ключа, который используется для авторизации пользователя Fibaro Home Center. В результате специалисты получили доступ к резервным копиям пользователя с возможностью загружать в облако новые файлы и отправлять содержимое на целевое устройство.

В веб-интерфейсе панели администратора была также обнаружена уязвимость удаленного исполнения кода. Из-за слабой неявной типизации языка PHP, на котором реализована часть API, злоумышленник с доступом к панели управления домом может получить root-доступ к целевому устройству, подав запрос на исполнение команды с вредоносным кодом в качестве параметра.

Исследователи также обнаружили несколько возможностей для внедрения SQL-кода. Разработчики Fibaro Home Center попытались защитить систему от подобных атак, введя фильтрацию подготавливаемых запросов и используя нестандартный способ обращения к базе данных, однако этих мер оказалось недостаточно.

Все эти находки позволили исследователям провести пробную атаку на Fibaro Home Center. Получив посредством эксплойта резервную копию с устройства коллеги, эксперты, помимо прочего, обнаружили в ней файл базы данных SQLite. В нем содержались такие данные, как хэшированный пароль владельца умного дома, точные координаты его дома, все сведения о подключенных к системе IoT-устройствах, включая их модель, учетные данные в открытом виде и IP-адреса. Как отмечают специалисты, этой информации достаточно, чтобы полностью скомпрометировать домашнюю инфраструктуру.

Далее взломщики создали подставную резервную копию, поместив в нее PHP-скрипт для выполнения сторонних команд. Разработчики Fibaro Home Center предусмотрели возможность отправки пользователям сообщений с просьбой обновить ПО на устройстве. Эксперты воспользовались этой функцией, чтобы предложить своей цели скомпрометированный архив.

Именно на этом шаге коллега исследователей, который ждал подобный подвох, подыграл взломщикам и поддался на уловку. В то же время, как отмечают авторы, обычный пользователь с высокой вероятностью не заподозрит неладное, несмотря на явные отличия вредоносного письма от стандартных сообщений Fibaro.

После установки скомпрометированной резервной копии эксперты «Лаборатории Касперского» получили полный доступ к умному дому с максимальными привилегиями. Чтобы обозначить свое присутствие, они заменили мелодию будильника на композицию в стиле drum-n-bass.

«Реальный атакующий, получив доступ к домашнему центру, вряд ли ограничится шуткой, — подчеркивают исследователи. — Одной из главных задач [Fibaro Home Center] является интеграция всех «умных вещей», чтобы владелец мог управлять ими из домашнего центра. Это может быть критически важное оборудование: сигнализация, механизмы открытия и закрытия окон, дверей и ворот, камеры наблюдения, системы обогрева и кондиционирования и другое».

Эксперты передали Fibaro описание обнаруженных уязвимостей, после чего разработчики обновили свое ПО. Исследователи выразили надежду, что их работа привлечет исследователей в мир Интернета вещей и напомнит компаниям о необходимости отлавливать ошибки, регулярно проводя аудит кода и тестирование.

В начале 2019 года специалисты нашли опасные баги в умных системах климатического управления. Уязвимости подвергали угрозе учетные данные пользователей и позволяли перехватить контроль над инфраструктурой зданий.

Категории: Аналитика, Главное, Уязвимости