35c3
Werner Schober to badacz pracujący w firmie SEC Consult i student nauk stosowanych na uniwersytecie w Australii. Na piątym roku nauki musiał zmierzyć się z problemem, który zna większość z nas: wybraniem tematu pracy dyplomowej.
Postanowił utworzyć chmurę słów związanych z tematami, które wybrali jego koledzy. Wśród najmodniejszych słów związanych z branżą IT znalazły się: bitcoin, RODO czy chmura. Jednak z jakiegoś powodu nie pojawił się temat Internetu Rzeczy, który przecież nadal jest na fali. Nie było nad czym się zastanawiać, zwłaszcza biorąc pod uwagę, że Werner pracował w firmie SEC Consult, która dawała mu całkiem niezłe doświadczenie (np. potrafił włamać się do urządzeń i sieci i znaleźć w nich luki), które mógł wykorzystać w swoim badaniu.
Jednak Internet Rzeczy to obszerny temat obejmujący wiele dziedzin życia, od sygnalizacji drogowej i rozruszników serca po inteligentne czajniki. Zatem tematyka musiała zostać zawężona. Infrastruktura krytyczna Internetu Rzeczy — czyli np. wspomniana wyżej sygnalizacja drogowa czy rozruszniki serca — została już szeroko i wielokrotnie omawiana. Inteligentne domy z inteligentnymi czajnikami i żarówkami również zostały omówione na wskroś — i nie znaleziono w nich naprawdę krytycznych luk w zabezpieczeniach. Jeśli inteligentna kosiarka padłaby ofiarą ataku DDoS, przez jeden dzień wystarczyłoby kosić trawę ręcznie…
Werner zdecydował się opisać podkategorię Internetu Rzeczy, która nie została szczegółowo omówiona (chociaż prowadzone są pewne badania, ponieważ hakerzy uwielbiają to, co zakazane) i w której luki mogłyby prowadzić do realnych konsekwencji. Mowa o inteligentnych zabawkach erotycznych.
Werner sprawdził trzy urządzenia: dwa produkcji chińskiej i jedno niemieckiej. Zgadnijcie, które zawierało więcej luk? To drugie! Okazało się, że luki były na tyle krytyczne i było ich na tyle dużo, że Werner zrezygnował z urządzeń z Chin i całą swoją pracę dyplomową poświęcił urządzeniu produkcji niemieckiej. Swoje wyniki zaprezentował podczas 35 edycji wydarzenia Chaos Communication Congress (35C3).
Niemieckie urządzenie nosi nazwę Vibratissimo PantyBuster. Łączy się ono ze smartfonem z platformą Android lub iOS za pośrednictwem technologii Bluetooth, a sterowanie odbywa się przy użyciu specjalnej aplikacji zainstalowanej lokalnie lub na innym smartfonie. Jednak możliwości aplikacji można rozszerzyć: można nią uzyskać dostęp do sieci społecznościowej, czatów grupowych (!), galerii zdjęć (!!), listy znajomych (!!!) i innych funkcji.
Oprogramowanie: poznanie innych użytkowników zabawek erotycznych
Zacznijmy od luk w oprogramowaniu. W katalogu głównym strony Vibratissimo znajdował się plik „.DS_Store” zawierający listę wszystkich folderów i plików w tym katalogu, a także dodatkowe ustawienia, które tworzy system macOS w celu poprawnego wyświetlania ikon plików. Wernerowi udało się odszyfrować ten plik, dzięki czemu poznał nazwy wszystkich folderów i plików znajdujących się w katalogu głównym.
Szczególnie zainteresował go folder „Config” zawierający plik o tej samej nazwie, przechowujący dane logowania umożliwiające uzyskiwanie dostępu do bazy danych, przechowywane w postaci niezaszyfrowanej. Werner znalazł interfejs w celu połączenia się z tą bazą, wprowadził dane logowania i uzyskał dostęp do danych wszystkich użytkowników urządzeń Vibratissimo; poznał ich nazwy użytkowników i hasła (również przechowywane w postaci niezaszyfrowanej), a także rozmowy, zdjęcia i filmy. Jakie rozmowy i zdjęcia można znaleźć w sieci społecznościowej związanej z gadżetami erotycznymi? Najpewniej te bardzo osobiste.
Pojawił się też inny problem: gdy w aplikacji tworzona jest galeria, przypisywany jest do niej identyfikator. Gdy ktoś chce obejrzeć galerię, aplikacja wysyła zapytanie, które zawiera ten identyfikator. Werner postanowił utworzyć galerię zawierającą dwa zdjęcia kotów, a gdy uzyskał identyfikator, zaczął się zastanawiać, co się stanie, gdy identyfikator w zapytaniu zostanie nieco zmieniony, na przykład poprzez pomniejszenie go o liczbę 1. W efekcie uzyskał dostęp do czyjejś galerii (która nie zawierała zdjęć kotów).
Ponadto aplikacja umożliwiała użytkownikom tworzenie łącza umożliwiającego zdalne włączenie urządzenia, które właściciele urządzeń mogą udostępniać innym osobom (opcja przewidziana prawdopodobnie dla związków na odległość). Gdy ktoś zdecyduje się użyć łącza, użytkownik urządzenia nie może zaprotestować — urządzenie włącza się od razu. Link ten również zawiera identyfikator. Zgadnijcie, co się stanie, gdy pomniejszycie go o 1? Tak, włącza się urządzenie kogoś innego.
Ponadto podczas autoryzacji logowania w telefonie aplikacja wysyła zapytanie do serwera, dołączając nazwę użytkownika i hasło w postaci tekstowej, w sposób niezaszyfrowany, co oznacza, że w sieci publicznej każdy może je przechwycić — niekoniecznie dla celów badawczych. Tu również nasz bohater znalazł wiele innych luk w bezpieczeństwie, ale o mniejszym znaczeniu. Jego uwagę przykuły większe problemy — jednym z nich była kwestia komunikacji urządzenia na poziomie sprzętowym.
Interfejs: łączenie się z losowymi nieznajomymi
Jak już wspomnieliśmy, urządzenie Vibratissimo PantyBuster łączy się ze smartfonem za pośrednictwem technologii Bluetooth. Mówiąc dokładniej, urządzenie używa standardu Bluetooth Low Energy, który umożliwia zastosowanie jednego z pięciu sposobów parowania — wymiany klucza dostępu w celu nawiązania połączenia między urządzeniami. Klucz dostępu, który należy wprowadzić na smartfonie, może zostać: zapisany na urządzeniu, wyświetlony na ekranie lub może zostać ujawniony wcześniej (może to być np. cyfra 0 lub ciąg 1234). Dodatkowo urządzenia mogą wymieniać się kluczami dostępu przy użyciu technologii komunikacji bliskiego zasięgu (ang. Near-Field Communication, NFC) lub można w ogóle ich nie parować.
Urządzenie PantyBuster nie ma wyświetlacza, a także nie umożliwia korzystania z technologii NFC, więc opcje te można odrzucić. Dwie pozostałe możliwości są dosyć bezpieczne (dosyć), jednak producenci tych urządzeń przedłożyli prostotę użytkowania ponad wszystko inne i postawili na proste i niebezpieczne rozwiązanie: brak parowania. Oznacza to, że jeśli ktoś zna polecenie aktywacji i wyśle je, uruchomi wszystkie gadżety PantyBusters znajdujące się w zasięgu. Zatem każda osoba posiadająca aktywną aplikację może na przykład przechadzać się w tłumie, próbując zrobić miłą niespodziankę wszystkim „szczęśliwym” posiadaczom, którzy podróżują ze swoimi urządzeniami.
Werner napisał prosty program, który skanuje włączone urządzenia Bluetooth LE w pobliżu, upewnił się, że są to zabawki erotyczne, i włączył je na pełną moc. Uprzedzając wątpliwości: w świetle australijskiego prawa takie działanie nie jest uważane za gwałt, ale kodeks karny w tym kraju zawiera paragraf dotyczący „niechcianych aktów seksualnych”.
Sprzęt, czyli co jest w środku
Po pierwsze, nie ma możliwości aktualizacji oprogramowania układowego. Może to zrobić producent, ale nie użytkownik. Gdy producent dowiedział się o badaniu Wernera, zasugerował, aby użytkownicy przesłali mu swoje urządzenia w celu aktualizacji, po czym miałyby one zostać odesłane. Jednak mało prawdopodobne jest, aby ktoś chciał wysłać używaną zabawkę erotyczną do serwisu.
Po drugie, gdy urządzenie zostanie otwarte, można znaleźć w nim interfejsy, których używa producent do usuwania błędów, a następnie zapomnieć je zamknąć. Interfejsy te mogą zostać użyte do uzyskania dostępu do oprogramowania układowego urządzenia i przeanalizowania go.
Problemy Internetu Rzeczy dopiero nadchodzą
Podczas swojego półgodzinnego wystąpienia Werner mówił o problemach, a nie o rozwiązaniach — w dużej mierze dlatego, że one nie istnieją. Oczywiście skontaktował się z producentem i wspólnie wyeliminowali większość problemów w aplikacji i nowych urządzeniach, jednak problemy sprzętowe w gadżetach, które zostały już sprzedane, prawdopodobnie już na nich pozostaną.
Teraz pozostaje nam tylko powtórzyć poradę, którą piszemy w niemal każdym poście dotyczącym inteligentnych urządzeń: zanim kupisz inteligentne urządzenie, poszukaj w internecie opinii o nim. I zastanów się, czy naprawdę potrzebujesz jego inteligentnych funkcji. Może wystarczy Ci wersja klasyczna? Może przedmiot ten nie musi łączyć się z internetem i nie musi oferować możliwości sterowania przez aplikację? Standardowa wersja będzie tańsza i zdecydowanie bezpieczniejsza.
Porady