Las vulnerabilidades de las aplicaciones dejan los dispositivos de IoT abiertos al ataque

Los dispositivos de IoT volvieron a ser regalos populares en esta temporada navideña. Un acrónimo de Internet of Things, IoT es más que una palabra de moda. La tendencia representa un gran cambio en la forma en que se fabrican y utilizan los productos, ya que se agrega conectividad de red a productos que antes no estaban destinados a tener esta funcionalidad.

Entonces, tu refrigerador que te envía un mensaje de texto cuando te quedas sin leche:IoT. Su termostato que proporciona gráficos de uso en su teléfono:sí, IoT. Básicamente, cualquier dispositivo de consumo capaz de conectarse a una red que no sea una computadora, teléfono, tableta o enrutador se considera un dispositivo de IoT, dice Fleming Shi, CTO de Barracuda Networks.

Sin embargo, la seguridad ha sido una gran preocupación con los dispositivos de IoT. Aunque se han realizado mejoras, persisten nuevos tipos de vulnerabilidades. Por ejemplo, los equipos de Barracuda Labs utilizaron recientemente una cámara de seguridad de IoT para ayudar a ilustrar una nueva amenaza:el compromiso de las credenciales de IoT, que utiliza vulnerabilidades de aplicaciones web y móviles para comprometer los dispositivos de IoT.

Compromiso de credenciales de IoT

Los atacantes pueden usar vulnerabilidades en las aplicaciones web y aplicaciones móviles utilizadas por ciertos dispositivos de IoT para adquirir credenciales, que luego pueden usarse para ver la transmisión de video, configurar / recibir / eliminar alarmas, eliminar clips de video guardados del almacenamiento en la nube y leer información de la cuenta . Los atacantes también pueden usar las credenciales para enviar su propia actualización de firmware al dispositivo, cambiar su funcionalidad y usar el dispositivo comprometido para atacar a otros dispositivos en la misma red.

Los detalles

Para ilustrar esta amenaza, el Barracuda El equipo de Labs realizó recientemente una investigación sobre una cámara de seguridad conectada e identificó múltiples vulnerabilidades en la aplicación web de la cámara y el ecosistema de aplicaciones móviles:

• La aplicación móvil ignora la validez del certificado del servidor
• Secuencias de comandos entre sitios (XSS) en la aplicación web
• Transferencia de archivos en un servidor en la nube
• El usuario controla el enlace de actualización del dispositivo
• Las actualizaciones del dispositivo no están firmadas
• El dispositivo ignora la validez del certificado del servidor

Usando estas vulnerabilidades, el equipo pudo realizar los siguientes ataques para adquirir credenciales y comprometer un dispositivo de IoT, todo sin una conexión directa al dispositivo en sí.

Adquirir credenciales desde la aplicación móvil

Si un atacante puede interceptar el tráfico a la aplicación móvil mediante el uso de una red comprometida u hostil, puede adquirir fácilmente la contraseña del usuario. Así es como funciona:

1. La víctima se conecta a una red comprometida / hostil con un teléfono móvil.

2. La aplicación de la cámara conectada intentará conectarse a los servidores del proveedor a través de https.

3. La red hostil / comprometida enrutará la conexión al servidor del atacante, que utilizará su propio certificado SSL y transmitirá la comunicación al servidor del proveedor.

4. El servidor del atacante ahora tiene un hash MD5 sin sal de la contraseña del usuario.

5. El atacante también puede alterar la comunicación entre el servidor del proveedor y la aplicación.

Adquirir credenciales desde la aplicación web

Este tipo de ataque se basa en una funcionalidad que permite a los usuarios compartir el acceso del dispositivo a la cámara conectada con otros usuarios. Para compartir un dispositivo, el receptor debe tener una cuenta válida con el proveedor de IoT y el remitente debe conocer el nombre de usuario del receptor, que resulta ser una dirección de correo electrónico.

1. El atacante incorporará un exploit XSS en el nombre de un dispositivo y luego compartirá ese dispositivo con la víctima.

2. Una vez que la víctima inicia sesión en su cuenta usando la aplicación web, el exploit XSS se ejecutará y compartirá el token de acceso (que se almacena como una variable en la aplicación web) con el atacante.

3. Con ese token de acceso, el atacante puede acceder a la cuenta de la víctima y a todos sus dispositivos registrados.

A través de esta investigación, el equipo de Barracuda Labs logró comprometer un dispositivo IoT (cámara conectada) sin ninguna conexión directa al dispositivo en sí. Esto facilita la vida de los atacantes. No más escaneos en Shodan para dispositivos vulnerables.

En cambio, el ataque se realizará contra la infraestructura del proveedor. Es una amenaza que también podría afectar a otros tipos de dispositivos de IoT, independientemente de su función, porque aprovecha la forma en que el dispositivo se comunica con la nube.

Después de todo, los errores no son inherentes a los productos, sino a los procesos, las habilidades y la conciencia de los desarrolladores. A medida que el acceso y los controles de acceso para los dispositivos de IoT se trasladaron a los servicios en la nube, también lo hicieron las vulnerabilidades, lo que hizo posible los tipos de ataques descubiertos por el equipo de Barracuda Labs.

Lecciones para los fabricantes de IoT

Los proveedores que crean soluciones de IoT deben proteger todos los aspectos de las aplicaciones utilizadas para ejecutar esos dispositivos. Los dispositivos de IoT son sensores distribuidos en hogares, escuelas y oficinas, y son posibles puntos de entrada para los atacantes. La red de cada cliente es una apertura al núcleo del servidor y a otros clientes.

Un firewall de aplicaciones web, una de las protecciones más críticas que los proveedores de IoT deben implementar, está diseñado para proteger los servidores del tráfico HTTP en la capa 7. Los fabricantes también deben aumentar la protección contra los ataques de la capa de red y el phishing.

La seguridad en la nube también es importante, ya que proporciona visibilidad, protección y reparación de las aplicaciones de IoT y las infraestructuras en las que se ejecutan. El potencial de exposición a movimientos laterales es grande y complejo, por lo que tomar las precauciones de seguridad adecuadas es clave.

Cómo protegerse como consumidor

Al comprar un dispositivo de IoT, los consumidores deben pensar en la seguridad, además de en la conveniencia y el precio. A continuación, se incluyen algunos consejos que debe tener en cuenta:

• Investigue el fabricante del dispositivo - Algunas empresas que producen dispositivos IoT comprenden la seguridad del software. La mayoría son empresas existentes cuya experiencia radica en fabricar los productos físicos que se están conectando o nuevas empresas que intentan llevar los dispositivos al mercado lo más rápido posible. En ambos casos, el software adecuado y las medidas de seguridad de la red a menudo se pasan por alto.
• Busque vulnerabilidades existentes en los otros dispositivos de un proveedor - Si un dispositivo tiene una vulnerabilidad, es probable que otros dispositivos con características similares de la misma empresa también sean vulnerables. En última instancia, un proveedor que tiene un historial de dispositivos seguros probablemente construirá dispositivos seguros en el futuro.
• Evaluar respuestas a vulnerabilidades pasadas - Si un proveedor responde a las personas que informan de una vulnerabilidad y la resuelve rápidamente con una actualización de firmware, es un buen augurio para su perspectiva sobre la seguridad y los productos futuros que fabrica.

Desafortunadamente, la cantidad de información disponible sobre la postura de seguridad de los dispositivos IoT es asombrosamente baja. Idealmente, necesitamos un mundo en el que todos los productos de IoT se califiquen con una calificación de seguridad, al igual que los automóviles. Se debe informar a los consumidores antes de invertir en dispositivos de IoT.

El autor de este blog es Fleming Shi, director de tecnología de Barracuda Networks