IoT: »Nogle enheder er så usikre, at det ikke kan skyldes en fejl«

Markedet svømmer over med internet-tilkoblet udstyr, vi kan bruge til at automatisere eller fjernstyre hjemmet.

Det står desværre ikke altid så godt til med it-sikkerheden for sådanne enheder. Alligevel inviterer vi dem ind bag firewallen, i det samme lokalnet, hvor vi har vore personlige pc’er, smartphones og filservere.

Test af hyldevarer

Nu er der måske langt mellem IoT-udstyr (Internet of Things), som er direkte ondsindet. Men der findes uden tvivl enheder, der har tvivlsom funktionalitet, og som kan udgøre en trussel mod brugernes privatliv. Det viser en rapport, som det amerikanske it-sikkerhedsselskab Dark Cubed publicerede for godt en måned siden. Den blev for nylig omtalt af CNET News.

Sikkerhedsforskerne hos Dark Cubed startede med helt tilfældigt at plukke 12 forskellige IoT-enheder ned fra hylderne eller netbutikkerne Walmart, Best Buy, MicroCenter og Amazon, altså store amerikanske butikskæder.

Syv af enhederne var kameraer, fire var ‘intelligente’ stikkontakter, mens den sidste var en wifi-kontrolleret LED-lyspære.

Flere er tilgængelige via udenlandske netbutikker og markedspladser, som har mange skandinaviske kunder.

Tre kom fra det med æren i behold

For hver af disse enheder gennemførte sikkerhedsforskerne en række aktiviteter. Det inkluderede:

• Manuel vurdering af privacypolitikken for at forstå, hvordan selskabet beskytter kundedataene, og hvem dataene eventuelt deles med.
• Overvågning og rangering af al trafik til og fra enhederne. Dette blev efter sigende gjort med avancerede værktøjer til trusselsanalyse
• Logning af al trafik og analyse af kommunikationsmønstre
• Indsamling af komplette pakkedata for manuelle vurderinger
• Gennemførelse af Man in the Middle-angreb for at forstå, hvad der kan ses på ydersiden af brugerens netværk
• Automatiseret og manuel analyse af tilknyttede Android-applikationer.

Blot tre af de tolv enheder, iHome Smart Outlet, Momentum Axel Camera og TP-Link Kasa Smart Outlet, klarede sig godt i testene. Ifølge Dark Cubed holder disse enheder kommunikationen med tredjeparter på et minimum, de følger grundlæggende sikkerhedsprincipper og er produkter, som sikkerhedsforskerne selv ville kunne forsvare at give som gave til familie og venner.

Fravær af sikkerhed

Værre er det med de øvrige enheder. Flere af dem er baseret på platforme, som enten ikke fuldt ud krypterer informationen, de overfører, eller også er krypteringsløsningerne så dårligt implementeret, at det ikke er vanskelig at omgå dem. Et eksempel på det sidste er enhederne fra Practecol og Zmodo, som ikke tjekker om sikkerhedscertifikatet, som benyttes i forbindelse med krypteringen af trafikken, er gyldigt. Dette gør, at nærmest hvem som helst kan afskære og dekryptere trafikken.

»Den eneste forklaring er, at disse selskaber aldrig har gennemført en sikkerhedsvurdering af disse enheder,« skriver Dark Cubed. Det pointeres også, at enhederne, som der ikke blev fundet alvorlige mangler ved, ikke er nævneværdig dyrere end mange af de usikre enheder.

Ingen kryptering

Alle enhederne fra Merkury Innovations, inklusive lyspæren, benytter det, Dark Cubed omtaler som en meget usikker implementering af protokollen MQTT (Message Queuing Telemetry Transport), hvor blandt andet meddelelseskøerne i de forskellige enheder, samt brugernavn og password, overføres ukrypteret over netværket mellem enhederne og den tilhørende Android-applikation.

Dette kan gøre det let for uvedkommende at følge med i, for eksempel om lyspæren tændes eller slukkes. Med lidt mere viden er det også muligt for ondsindede at manipulere enhederne. Den eneste måde at hindre dette på er at frakoble enhederne.

»Vi er helt klart bekymrede over netop disse enheder, men vi mistænker stærkt, at sikkerhedsproblemerne, vi har fundet, er repræsentative for det faktum, at disse selskaber ikke vurderer sikkerhed så vigtig, at de ikke engang har foretaget en eneste sikkerhedsvurdering af disse enheder. Ingen sikkerhedsorienteret person ved disse selskaber ville have sat disse enheder til salg i deres nuværende tilstand,« skriver sikkerhedsforskerne.

Appene gør det værre

Det er muligvis begrænset, hvor meget skade en wifi-tilknyttet lyspære kan forårsage alene. Men den aktuelle lyspære, der omtales i rapporten, skal styres ved hjælp af en applikation, der hedder Geeni. Med den kan lyspæren blandt andet dæmpes eller tændes eller slukkes på bestemte tidspunkter.

Sikkerhedsforskerne mener, at appen er direkte skræmmende. På mobilen kræver den nemlig en række tilladelser, der anses som værende følsomme. Disse inkluderer adgang til brugerens position, mulighed for at optage lyd og adgang til at lagre i enhedens eksterne hukommelse. Derudover beder den om SYSTEM_ALERT_WINDOW-tilladelse. Google angiver, at det er meget få applikationer, som bruger denne tilladelse, da den er tiltænkt interaktion med brugeren på systemniveau.

Selv om det kan virke uskyldigt, oplyser sikkerhedsforskerne, at der findes flere beskrivelser på internettet, som fortæller, hvordan dette kan bruges af appudviklere til at stjæle data fra andre applikationer, kompromittere passwords og til at downloade malware på enheden.

Sikkerhedsforskerne understreger, at de ikke har nogen særlig grund til at mistænke Geeni-appen for at gøre dette.

»Men det er noget, der gør os nervøse.«

Forskerne skriver, at Apples strenge krav for godkendelse af apps kan have medført, at nogle af de omtalte svagheder, der er opdaget i Android-udgaverne af appene, ikke er til stede i iOS-udgaverne af de samme apps.

Kommunikerer med mange servere

Derimod kommunikerer appen med en række webservere i både Kina, Hongkong og USA. Den inkluderer også hardcodede links til kinesiske og amerikanske aktører som Alibaba, Facebook, Twitter og Weibo. Dette bruges sandsynligvis til at indsamle persondata til annonceformål.

»Bare ved at dæmpe din lyspære løber du en stor risiko med applikationen på grund af sikkerhedsproblemerne og de lækkede personoplysninger,« skriver sikkerhedsforskerne.

De understreger, at det, at en applikation anmoder om diverse tilladelser, ikke nødvendigvis betyder, at den faktisk benytter sig af disse. Men en fremtidig version af appen kan bruge disse uden at skulle bede om tilladelse igen.

Sikkerhedsforskerne nævner også to andre eksempler på sikkerhedsproblemer med de testede enheder.

Med Guardzilla-enheden fra Practecol er det muligt at udløse falske alarmer bare ved at besøge en given URL i browseren. Med Zmodo-kameraet er det muligt at observere al kommunikation til og fra kameraet, inklusive billeder og video.

Kina

Dark Cubed udtrykker også generel bekymring over Kinas voksende position på IoT-markedet. Sikkerhedsselskabet erkender, at det at et selskab drives fra Kina ikke betyder, at det er et ondsindet firma, men peger på, at forholdet mellem kinesiske selskaber og myndigheder er anderledes, end det er i mange andre lande. Dark Cubed baserer dette på officielle amerikanske rapporter fra FBI og efterretningstjenester.

Det er ikke nødvendigvis bevist, at kinesisk elektronik fungerer som en udvidet del af den kinesiske efterretningstjeneste, men mistanken er der. Blandt andet Huawei arbejder for tiden hårdt på at modbevise disse mistanker mod selskabet.

Som amerikansk aktør mener Dark Cubed, at det ideelt set skal være en USA-baseret, sikkerhedsorienteret leverandør, der står bag IoT-enhedernes hardware, mobilapps og selve platformen, selv om de fysiske enheder produceres i Kina. Det kan ses i illustrationen nedenfor.

Set med danske øjne er det tilsvarende ønskeligt, at leverandøren er dansk, eller i hvert fald fra et land, som er underlagt de samme privacy-regler, som findes i Danmark, det vil sige et land i EU/EØS.

Skyen og sikkerhed

I rapporten peges der også på, at enkelte leverandører hævder, at det, at de bruger en amerikansk cloudplatform, gør deres platform sikker. Ovennævnte Merkury bruger en server i Amazon Web Services (AWS), men det fremgår klart, at den ikke er sikker.

Dark Cubed skriver, at det er vigtigt at skelne mellem brug af sikre IoT-platforme fra blandt andet Amazon og Google, og så det at have en almindelig webserver, som kører på en virtuel maskine i for eksempel AWS.

»Amazon har intet ansvar for at sikre infrastruktur, som kører på en virtuel server i AWS, og det bør de heller ikke have,« står der i rapporten.

Der er mange cloud-kunder, der tror, at de fralægger sig ansvaret for sikkerheden, når de tager løsninger i skyen i brug. Det har fået flere til at råbe vagt i gevær.

Skal være sikkert fra begyndelsen

Dark Cubed afslutter rapporten med at skrive, at selv om meget af det, der peges på i rapporten, kan rettes ved hjælp af sikkerhedsopdateringer, så vil det ikke batte meget, fordi sikkerhed kræver kultur og forpligtelser, og så nytter det ikke med en reaktiv tilgang.

»For i det hele taget at være trygge ved at overveje at bruge nogle af disse produkter igen i fremtiden skulle vi have set en betydelig omstrukturering og omstilling i disse selskaber og fokus på at gøre sikkerhed til en prioritet,« skriver sikkerhedsforskerne.

Sikkerhedsforskerne fortæller, at det, som deres undersøgelsen har afdækket, på en måde ikke er kommet som en overraskelse.

»Mange af disse enheder er ikke sikre. Meget af den tilhørende infrastruktur er ikke sikker. Flere af Android-applikationerne er på grænsen til at være farlige at bruge. Det, der dog var overraskende, var det faktum, at nogle af enhederne, som IoT-lyspæren, er så usikre, at det ikke er muligt at betragte det som en fejl,« hedder det i rapporten.

Artiklen er fra digi.no.