Security Week 52: безопасность умных колонок и IP-камер

Security Week 52: безопасность умных колонок и IP-камер
Еще в октябре исследователи из компании SRLabs показали, как можно менять поведение умных колонок Amazon Echo и Google Home для подслушивания разговоров или даже фишинга паролей ( новость , исследование ). Для последнего даже существует специальный термин — vishing, он же voice phishing, то есть фишинг, в котором жертва делится секретами голосом.

Для атаки использовалась штатная функциональность колонок, а именно — возможность устанавливать мини-приложения (известные как skills или actions). Гипотетический апп, который человеческим голосом вслух читает свежий гороскоп, можно модифицировать уже после аудита безопасности. При помощи спецсимволов и подмены технических сообщений можно сделать вид, что приложение перестало работать, хотя на самом деле происходит запись, расшифровка и отправка на сервер атакующего всех разговоров и команд в течение некоторого времени.

Спустя два месяца исследователи сообщили , что проблемы исправлены не были. В ходе исследования в «магазин приложений» умных колонок были загружены «вредоносные» приложения. Результаты были переданы в Amazon и Google, после чего приложения были удалены, но в SRLabs без труда загрузили их заново, и они смогли пройти проверку. Ситуация напоминает проблему с вредоносными приложениями для обычных смартфонов в Google Play Store и Apple App Store: тактика та же, просто методы социальной инженерии немного другие. В любом случае, это интересный пример эволюции атак с учетом появления устройств, которые постоянно подслушивают и подсматривают за владельцами.

e0bc18d5ae91a354c06ac4656aab0523.png

Атака, на примере Amazon Echo, происходит следующим образом. Создается легитимное приложение, которое проходит аудит производителя. После этого функциональность приложения меняется, но Amazon не считает это поводом для повторной проверки. Происходит подмена приветственного сообщения: при запуске приложение говорит пользователю, что произошла ошибка, например: «Этот skill недоступен в вашей стране». Жертва уверена, что приложение закончило работу, но на самом деле апп пытается заставить колонку произнести фразу, состоящую из спецсимволов (если конкретнее — из скопированной множество раз последовательности знаков U+D801). Колонка «произносит» тишину, после чего воспроизводится уже фишинговое сообщение: «Доступно обновление системы, пожалуйста, скажите ваш пароль».

Второй вариант атаки также использует спецсимволы, которые колонка пытается «произнести», но вместо фишинга имеет место подслушивание. В случае с Google Home сценарий такой же, только меньше ограничений на длительность подслушивания.

Очевидно, здесь есть две проблемы. Во-первых, серьезное изменение функциональности не требует проверки, и в целом проверка «скиллов» сторонних разработчиков не такая строгая. Во-вторых, колонка пытается воспроизвести нечитаемые символы, хотя в идеальной ситуации такая функциональность должна блокироваться.

Повторяется ситуация с экосистемой приложений для смартфонов: в начале развития платформы разработчикам предоставляется полная свобода действий, контроль функциональности приложений сводится к минимуму, а злоумышленники пока мало интересуются атаками на пользователей устройства. Со временем количество атак увеличивается, механизмы безопасности становятся более совершенными, закручиваются гайки требований к разработчикам.

Связанная с этим тема недавно широко обсуждалась в СМИ: имели место сразу два случая несанкционированного доступа к IP-камере Amazon Ring, которую, как правило, покупают как раз в целях безопасности. Оба случая произошли скорее всего из-за взлома аккаунта пользователей (ненадежный или утекший пароль, отсутствие двухфакторной аутентификации). Никаких сложных методов социальной инженерии: горе-взломщики не придумали ничего лучше, чем пытаться поговорить с жертвой через встроенный в устройство динамик. Вроде бы если имеет место такое вторжение в личную жизнь пользователей, то и меры безопасности должны быть круче. Но пример исследования SRLabs (и реакции на него) показывает, что это не совсем так.

Что еще произошло:
Критическая уязвимость в продуктах Citrix Application Delivery Controller (раньше назывался NetScaler ADС) и Citrix Gateway (NetScaler Gateway). Подробностей пока нет, уязвимость открывает удаленный доступ к локальной сети без авторизации.

Детальный разбор довольно простого мошенничества с «подписками на нотификации» в браузере. Есть один нетривиальный момент: для раскрутки вредоносных сайтов используется поиск гугла по картинкам. Схема работы такая: картинки по популярным запросам ставятся на один сайт, попадают в результаты поиска, оттуда пользователь перенаправляется на другой домен, соглашается на уведомления и забывает об этом. Через некоторое время в уведомления браузера начинает сыпаться спам.

Интересная уязвимость , вызываемая коллизиями при обработке некоторых спецсимволов в Юникоде. В Github она позволяла перехватить сообщение со ссылкой на сброс пароля. Берем пользователя с почтовым адресом mike@example.org, регистрируем ящик mıke@example.org (обратите внимание на i без точки). В форме «забыл пароль» вводим этот e-mail со спецсимволом. Система идентифицирует пользователя mike, но отправляет сообщение на ящик атакующего. Решено путем обязательного сравнения двух адресов.

История про случайное обнаружение веб-интерфейса к киоскам в офисах Microsoft в открытом доступе. Такие устройства используются в лобби для назначения встречи, печати пропусков и прочего, и в нормальной ситуации не должны быть доступны удаленно. Хитрый поиск по сайту Microsoft выдал нужный URL, через который получилось запросить встречу с гендиректором компании. Ну, и получить доступ к внутренним данным, что представляет определенную проблему.

Не баг, а фича. API сервиса такси «Ситимобил» работает без авторизации (и лимита запросов) и позволяет выкачивать данные о местонахождении как всех автомобилей, так и отдельно взятого авто. Первое является бизнес-риском для самого сервиса, так как конкуренты могут использовать API для разведки. Второе — в теории позволяет идентифицировать как водителя такси, так и пассажира, если известны координаты отправления.

Еще один баг в мессенджере Whatsapp: можно уронить программу всем участникам чата, отправив сообщение с видоизмененными метаданными. Решается переустановкой мессенджера и выходом из «пострадавшего» чата.
Alt text