ZAKTUALIZOWANO o komentarz TP-Link.
Jedna lub więcej kamer bezpieczeństwa wyprodukowanych i sprzedawanych przez TP-Link w ramach linii produktów Kasa dla inteligentnych domów może zostać łatwo zhakowanych z powodu kilku poważnych luk w aplikacji mobilnej Kasa, mówi badacz w nowym raporcie.
Według Bezpieczeństwo sekwencji (otwiera się w nowej karcie) badacza Jasona Kenta, hakerzy mogą uzyskać zdalny dostęp do obrazów, filmów i ustawień, wykorzystując luki w zabezpieczeniach aplikacji do domowych kamer bezpieczeństwa Kasa firmy TP-Link.
Ta sama aplikacja steruje inteligentnymi wtyczkami Kasa, inteligentnymi żarówkami i inteligentnymi przełącznikami ściennymi. Nie jest jasne, czy te same wady aplikacji mogą dotyczyć tych produktów.
- Najlepszy program antywirusowy: korzystaj z ochrony online dzięki najlepszemu oprogramowaniu
- VPN: zachowaj anonimowość online dzięki najlepszej wirtualnej sieci prywatnej
- Tylko w: 15 miliardów skradzionych nazw użytkowników i haseł dostępnych online
Kilka błędów
Tom’s Guide skontaktował się z TP-Link w celu uzyskania komentarza, a my zaktualizujemy tę historię, gdy otrzymamy odpowiedź.
[UPDATE: TP-Link said all the problems were fixed by July 17, and Jason Kent’s blog post was updated to reflect that change.]
Kent odkrył wady, kiedy kupił aparat Kasa i zauważył potencjalny problem z bezpieczeństwem.
„Po instalacji zdałem sobie sprawę, że aplikacja mobilna łączy się bezpośrednio z kamerą przez sieć, a nawet jeśli nie byłem podłączony do sieci, nadal mogłem oglądać obrazy z mojego aparatu w aplikacji mobilnej. Jako profesjonalistę ds. bezpieczeństwa martwiło mnie to” – powiedział.
Podczas dalszych badań odkrył, że kamera miała niewłaściwie zabezpieczony certyfikat SSL (Secure Sockets Layer), przez co była podatna na ataki typu man-in-the-middle – co mogło umożliwić hakerom przeglądanie i edytowanie komunikacji między kamerą a aplikacją .
Zauważył, że ponieważ certyfikat SSL nie był przypięty, oszuści „łatwo go otworzyli i przejrzeli transakcje”.
Przypinanie SSL zapobiega atakom typu „man-in-the-middle” i fałszowaniu tych certyfikatów.
„Odkryłem również, że uwierzytelnianie to po prostu nazwa użytkownika: hasło zakodowane w standardzie Base64 przekazywane w ramach protokołu SSL. Najlepsze praktyki w zakresie bezpieczeństwa nakazują, aby aplikacja haszowała w ramach protokołu SSL, a nie kodowała, i ponownie podkreśliła wartość przypinania certyfikatu” — powiedział Kent.
Base64 to nie szyfrowanie, ale po prostu metoda kodowania danych binarnych w zwartej formie tekstowej. To wcale nie jest bezpieczne.
Na przykład „hasło” w systemie binarnym to „0111000001100001011100110111001101110111011011110111001001100100”, co jest dość długie i nieporęczne. Ale w Base64 „hasło” jest łatwiejszym w zarządzaniu „cGFzc3dvcmQ =”. Może wyglądać na zaszyfrowane, ale tak naprawdę nie jest i możesz to zrobić łatwo przetłumaczyć to z powrotem (otwiera się w nowej karcie) do „hasła”.
Przejęcie konta
Kent ostrzegł, że niechlujne protokoły autoryzacji konta w aplikacji Kasa, które zgłosił TP-Link w marcu, nie zostały jeszcze załatane i pozwolą złoczyńcom z łatwością przeprowadzać ataki polegające na fałszowaniu danych uwierzytelniających w ramach prób przejęcia konta.
Dzieje się tak dlatego, że aplikacja mobilna Kasa informuje o wprowadzeniu nieistniejącej nazwy użytkownika lub błędnego hasła, co pozwala atakującym szybko skreślać pozycje na ich listach możliwych nazw użytkowników lub haseł.
Kent wyjaśnił: „Ponieważ użyłem mojego adresu e-mail jako mojej nazwy użytkownika, jak większość na tej platformie, prosty zestaw żądań pozwoliłby na wyliczenie kont użytkowników na platformie. Jako osoba, która zajmuje się zwalczaniem zautomatyzowanych cyberataków (botów) i powstrzymywaniem zautomatyzowanych ataków, wiem, że obszerne komunikaty o błędach interfejsu API w punktach końcowych uwierzytelniania prowadzą do ataków typu Account Take Over (ATO).
Korzystając z tych luk, osoby atakujące mogą przeprowadzać ataki polegające na upychaniu danych uwierzytelniających. Powiedział: „Teraz osoba atakująca może wyliczyć nazwy użytkowników na podstawie list e-mailowych. Po ustaleniu listy znanych dobrych nazw użytkowników można rozpocząć atak na hasło.
„ATO odbywa się znacznie łatwiej, gdy osoba atakująca może łatwo zrozumieć, jaka jest dobra nazwa użytkownika i jakie jest pasujące hasło. Doprowadziłoby to do ataku Credential Stuffing w celu odgadnięcia hasła, w przeciwnym razie atakujący musiałby wprowadzić dobrą nazwę użytkownika i przejąć konto za pomocą mechanizmu resetowania hasła”.
Dla bezpieczeństwa lepiej jest, jeśli aplikacja po prostu powoduje wylogowanie bez podania powodu, jeśli podasz niewłaściwy zestaw poświadczeń.
Mała akcja
Pomimo skontaktowania się z producentem w marcu, niektóre wady pozostają. Powiedział: „Jednak w chwili pisania tego tekstu nie naprawili ujawniania informacji na swojej platformie, a ATO z Credential Stuffing jest nadal możliwym rozwiązaniem. Ich interfejsy API mówią atakującemu, jak być bardziej wydajnym i pomagają atakującemu znaleźć prawidłowe kombinacje nazwy użytkownika i hasła”.
Aby uniknąć tych ataków, zaleca się, aby użytkownicy ustawiali unikalne hasła i upewniali się, że ich urządzenia korzystają z aktualnego oprogramowania.
- Czytaj więcej: Nasz wybór najlepszych obecnie domowych kamer bezpieczeństwa