По мере бурного развития Интернета вещей проблемы с безопасностью подключаемых устройств становятся все более очевидными. Помимо различных уязвимостей, то и дело обнаруживаемых в IoT-девайсах, удручает отношение компаний к отчетам об уязвимостях, предоставляемым ИБ-экспертами.

Исследователи из Rapid7 раскрыли подробности о паре уязвимостей, найденных в детских игрушках и интерактивной платформе для детей. Вендоры в итоге запатчили оба бага, но только после длительной работы и в результате координации усилий между Rapid7, CERT и производителями игрушек — Fisher-Price и hereO.

«Эти компании очень разные: Fisher-Price — именитый производитель, а hereO — стартап, собравший средства на свой продукт на Kickstarter. При этом их реакция была практически идентичной, — признал Тод Бирдсли (Tod Beardsley), главный менеджер по исследованиям безопасности в Rapid7. — Нам пришлось изрядно потрудиться, чтобы достучаться до обоих вендоров и объяснить им, в чем заключается опасность уязвимости. Как только они поняли, о чем речь, они сразу предоставили исправление, и это оказалось не так уж трудно».

Обе уязвимости в игрушечном медведе Fisher-Price Smart Toy Bear и GPS-платформе hereO компрометировали личные данные детей и их безопасность.

Пользователям, можно сказать, повезло: уязвимости, найденные исследователем Марком Станиславом (Mark Stanislav) в интерфейсах программирования веб-приложений у обеих игрушек, можно запатчить усилиями самого производителя, потребителю ничего предпринимать не нужно.

«Умный» медведь Fisher-Price — мягкая игрушка, с которой дети могут общаться: как указано на официальном сайте, мишка говорит, слушает речь и запоминает слова. Обновление игрушки происходит «по воздуху» — мишка таким образом получает новые функции и обновления. Станислав выявил проблему: в API-интерфейсе некорректно реализована аутентификация, что позволяло обойтись без подтверждения подлинности отправителя сообщений. В итоге злоумышленник мог посылать запросы, не имея на то никакого права.

При эксплуатации уязвимости атакующий мог собирать информацию о пользователях (в том числе и о детях), включая имена, даты рождения, пол, язык и сведения об имеющихся игрушках. Этой информации достаточно для того, чтобы создать поддельный профиль и использовать техники социальной инженерии для атаки на детей или их родителей.

Платформа hereO служит для отслеживания местоположения ребенка и включает в себя GPS-маяк, SIM-карту и UPS-коннектор. Как выяснили эксперты Rapid7, уязвимость в веб-API открывает возможность для обхода авторизации. Это значит, что злоумышленник может включить свой профиль в «семейную» группу, членам которой доступны такие возможности, как обмен сообщениями, геолокация и тревожная кнопка. Приняв самого себя в закрытую группу, атакующий будет знать местоположение каждого члена группы.

«Используя баг в hereO, злоумышленник может узнать, где находится ребенок, что само по себе звучит очень пугающе. Брешь в игрушке от Fisher-Price позволяет создать базу данных детей и дат их рождения. Хотя эти данные не кажутся секретными на первый взгляд, они нередко могут использоваться в расхожих хакерских сценариях, — заверил Бирдсли. — На самом деле имена детей и даты их рождения могут оказаться полезными для различных видов мошенничества — например, для фишинга. Многие люди используют информацию о дне рождения детей в качестве секретных вопросов или паролей, что, конечно, обескураживает, так как подобные пароли изначально ненадежны».

Еще одним изъяном игрушек является возможность регистрации аккаунта без покупки игрушки.

«Многие подключаемые к Интернету игрушки снабжены уникальным кодом, который служит подтверждением факта покупки при регистрации, но не в этих двух случаях, — комментирует Бирдсли. — То есть «входного ценза» практически нет. Все, что нужно для успешной атаки, — это зарегистрироваться и исследовать веб-API, чтобы выявить типовые запросы и ответы».

Многие устройства сегодня предполагают подключение к Интернету, но разработчики редко ставят безопасность во главу угла.

«Невозможно написать код без багов, и некоторые из них могут поставить под угрозу вашу безопасность, — признал Бирдсли. — Самое важное при выявлении уязвимости — это обеспечение эффективного взаимодействия компании и исследователя, обнаружившего баг. Поиск нужного человека в компании не должен требовать столько времени и усилий и не должен каждый раз сопровождаться опасениями, что на тебя подадут в суд. В данный момент исследователи вынуждены беспокоиться об этом все время».

Категории: Главное, Уязвимости