Les vulnérabilités des applications laissent les appareils IoT exposés aux attaques

Les appareils IoT étaient à nouveau des cadeaux populaires cette saison des fêtes. Acronyme d'Internet des objets, l'IoT est plus qu'un mot à la mode. La tendance représente un énorme changement dans la façon dont les produits sont fabriqués et utilisés, car la connectivité réseau est ajoutée aux produits qui n'étaient pas destinés auparavant à avoir cette fonctionnalité.

Donc, votre réfrigérateur qui vous envoie un SMS lorsque vous n'avez plus de lait :IoT. Votre thermostat qui fournit des graphiques d'utilisation sur votre téléphone :oui, IoT. Fondamentalement, tout appareil grand public capable de se connecter à un réseau autre qu'un ordinateur, un téléphone, une tablette ou un routeur est considéré comme un appareil IoT, explique Fleming Shi, CTO de Barracuda Networks.

Cependant, la sécurité a été une grande préoccupation avec les appareils IoT. Bien que des améliorations aient été apportées, de nouveaux types de vulnérabilités subsistent. Par exemple, les équipes de Barracuda Labs ont récemment utilisé une caméra de sécurité IoT pour illustrer une nouvelle menace :la compromission des identifiants IoT, qui utilise les vulnérabilités des applications Web et mobiles pour compromettre les appareils IoT.

Compromis des identifiants IoT

Les attaquants peuvent utiliser les vulnérabilités des applications Web et des applications mobiles utilisées par certains appareils IoT pour acquérir des informations d'identification, qui peuvent ensuite être utilisées pour afficher le flux vidéo, définir/recevoir/supprimer des alarmes, supprimer des clips vidéo enregistrés du stockage cloud et lire les informations de compte . Les attaquants peuvent également utiliser les informations d'identification pour transmettre leur propre mise à jour du micrologiciel à l'appareil, en modifiant ses fonctionnalités et en utilisant l'appareil compromis pour attaquer d'autres appareils sur le même réseau.

Les détails

Pour illustrer cette menace, le Barracuda L'équipe Labs a récemment mené des recherches sur une caméra de sécurité connectée et identifié plusieurs vulnérabilités dans l'écosystème d'applications Web et d'applications mobiles de la caméra :

• L'application mobile ignore la validité du certificat du serveur
• Scripts intersites (XSS) dans l'application Web
• Traversée de fichiers dans un serveur cloud
• L'utilisateur contrôle le lien de mise à jour de l'appareil
• Les mises à jour de l'appareil ne sont pas signées
• L'appareil ignore la validité du certificat du serveur

En utilisant ces vulnérabilités, l'équipe a pu effectuer les attaques suivantes pour acquérir des informations d'identification et compromettre un appareil IoT, le tout sans connexion directe à l'appareil lui-même.

Acquérir des identifiants depuis l'application mobile

Si un attaquant peut intercepter le trafic vers l'application mobile en utilisant un réseau compromis ou hostile, il peut facilement acquérir le mot de passe de l'utilisateur. Voici comment cela fonctionne :

1. La victime se connecte à un réseau compromis/hostile avec un téléphone portable.

2. L'application de caméra connectée essaiera de se connecter aux serveurs du fournisseur via https.

3. Le réseau hostile/compromis acheminera la connexion vers le serveur de l'attaquant, qui utilisera son propre certificat SSL et transmettra la communication au serveur du fournisseur.

4. Le serveur de l'attaquant détient désormais un hachage MD5 non salé du mot de passe de l'utilisateur.

5. L'attaquant peut également altérer la communication entre le serveur du fournisseur et l'application.

Acquérir des identifiants à partir de l'application Web

Ce type d'attaque repose sur une fonctionnalité qui permet aux utilisateurs de partager l'accès de l'appareil à la caméra connectée avec d'autres utilisateurs. Pour partager un appareil, le destinataire doit disposer d'un compte valide auprès du fournisseur IoT et l'expéditeur doit connaître le nom d'utilisateur du destinataire, qui se trouve être une adresse e-mail.

1. L'attaquant intégrera un exploit XSS dans le nom d'un appareil, puis partagera cet appareil avec la victime.

2. Une fois que la victime se connecte à son compte à l'aide de l'application Web, l'exploit XSS exécutera et partagera le jeton d'accès (qui est stocké en tant que variable sur l'application Web) avec l'attaquant.

3. Avec ce jeton d'accès, l'attaquant peut accéder au compte de la victime et à tous ses appareils enregistrés.

Grâce à cette recherche, l'équipe de Barracuda Labs a réussi à compromettre un appareil IoT (caméra connectée) sans aucune connexion directe à l'appareil lui-même. Cela facilite la vie des attaquants. Plus besoin de scanner sur Shodan  pour les appareils vulnérables.

Au lieu de cela, l'attaque sera effectuée contre l'infrastructure du fournisseur. C'est une menace qui pourrait également affecter d'autres types d'appareils IoT, quelle que soit leur fonction, car elle tire parti de la façon dont l'appareil communique avec le cloud.

Après tout, les bogues ne sont pas inhérents aux produits, mais plutôt aux processus, aux compétences et à la sensibilisation des développeurs. À mesure que les contrôles d'accès et d'accès pour les appareils IoT se sont déplacés vers les services cloud, les vulnérabilités ont fait de même, rendant possibles les types d'attaques découverts par l'équipe de Barracuda Labs.

Leçons pour les fabricants IoT

Les fournisseurs qui créent des solutions IoT doivent protéger tous les aspects des applications utilisées pour exécuter ces appareils. Les appareils IoT sont des capteurs distribués dans les maisons, les écoles et les bureaux, et ce sont des points d'entrée potentiels pour les attaquants. Le réseau de chaque client est une ouverture vers le cœur du serveur et vers les autres clients.

Un pare-feu d'application Web, l'une des protections les plus critiques que les fournisseurs d'IoT doivent mettre en place, est conçu pour protéger les serveurs du trafic HTTP au niveau de la couche 7. Les fabricants doivent également renforcer la protection contre les attaques de la couche réseau et le phishing.

La sécurité du cloud est également importante, offrant visibilité, protection et correction des applications IoT et des infrastructures sur lesquelles elles s'exécutent. Le potentiel d'exposition aux mouvements latéraux est important et complexe, il est donc essentiel de prendre des précautions de sécurité appropriées.

Comment se protéger en tant que consommateur

Lors de l'achat d'un appareil IoT, les consommateurs doivent penser à la sécurité, en plus de la commodité et du prix. Voici quelques conseils à prendre en compte :

• Recherchez le fabricant de l'appareil — Quelques entreprises qui produisent des appareils IoT comprennent la sécurité logicielle. La plupart sont soit des entreprises existantes dont l'expertise réside dans la fabrication des produits physiques qui sont connectés, soit des startups essayant de mettre des appareils sur le marché le plus rapidement possible. Dans les deux cas, les mesures de sécurité logicielles et réseau appropriées sont souvent négligées.
• Rechercher les vulnérabilités existantes dans les autres appareils d'un fournisseur  — Si un appareil présente une vulnérabilité, il est probable que d'autres appareils dotés de fonctionnalités similaires de la même entreprise soient également vulnérables. En fin de compte, un fournisseur qui a un historique d'appareils sécurisés construira probablement des appareils sécurisés à l'avenir.
• Évaluer les réponses aux vulnérabilités passées  — Si un fournisseur réagit aux personnes signalant une vulnérabilité et la résout rapidement avec une mise à jour du micrologiciel, cela est de bon augure pour leurs perspectives sur la sécurité et les futurs produits qu'ils fabriquent.

Malheureusement, la quantité d'informations disponibles sur la posture de sécurité des appareils IoT est étonnamment faible. Idéalement, nous devons créer un monde où les produits IoT sont tous notés avec une cote de sécurité, tout comme les voitures. Les consommateurs doivent être informés avant d'investir dans des appareils IoT.

L'auteur de ce blog est Fleming Shi, CTO de Barracuda Networks