IoT: »Nogle enheder er så usikre, at det ikke kan skyldes en fejl«

Sikkerhedstest af udbredte IoT-produkter afslører skræmmende mangler.

Harald Brombach / digi.no 8

Markedet svømmer over med internet-tilkoblet udstyr, vi kan bruge til at automatisere eller fjernstyre hjemmet.

Det står desværre ikke altid så godt til med it-sikkerheden for sådanne enheder. Alligevel inviterer vi dem ind bag firewallen, i det samme lokalnet, hvor vi har vore personlige pc’er, smartphones og filservere.

Test af hyldevarer

Nu er der måske langt mellem IoT-udstyr (Internet of Things), som er direkte ondsindet. Men der findes uden tvivl enheder, der har tvivlsom funktionalitet, og som kan udgøre en trussel mod brugernes privatliv. Det viser en rapport, som det amerikanske it-sikkerhedsselskab Dark Cubed publicerede for godt en måned siden. Den blev for nylig omtalt af CNET News.

Sikkerhedsforskerne hos Dark Cubed startede med helt tilfældigt at plukke 12 forskellige IoT-enheder ned fra hylderne eller netbutikkerne Walmart, Best Buy, MicroCenter og Amazon, altså store amerikanske butikskæder.

Syv af enhederne var kameraer, fire var ‘intelligente’ stikkontakter, mens den sidste var en wifi-kontrolleret LED-lyspære.

IoT-enhederne, som er omtalt i rapporten fra Dark Cubed. Illustration: Dark Cubed

Flere er tilgængelige via udenlandske netbutikker og markedspladser, som har mange skandinaviske kunder.

Tre kom fra det med æren i behold

For hver af disse enheder gennemførte sikkerhedsforskerne en række aktiviteter. Det inkluderede:

  • Manuel vurdering af privacypolitikken for at forstå, hvordan selskabet beskytter kundedataene, og hvem dataene eventuelt deles med.
  • Overvågning og rangering af al trafik til og fra enhederne. Dette blev efter sigende gjort med avancerede værktøjer til trusselsanalyse
  • Logning af al trafik og analyse af kommunikationsmønstre
  • Indsamling af komplette pakkedata for manuelle vurderinger
  • Gennemførelse af Man in the Middle-angreb for at forstå, hvad der kan ses på ydersiden af brugerens netværk
  • Automatiseret og manuel analyse af tilknyttede Android-applikationer.

Blot tre af de tolv enheder, iHome Smart Outlet, Momentum Axel Camera og TP-Link Kasa Smart Outlet, klarede sig godt i testene. Ifølge Dark Cubed holder disse enheder kommunikationen med tredjeparter på et minimum, de følger grundlæggende sikkerhedsprincipper og er produkter, som sikkerhedsforskerne selv ville kunne forsvare at give som gave til familie og venner.

Fravær af sikkerhed

Værre er det med de øvrige enheder. Flere af dem er baseret på platforme, som enten ikke fuldt ud krypterer informationen, de overfører, eller også er krypteringsløsningerne så dårligt implementeret, at det ikke er vanskelig at omgå dem. Et eksempel på det sidste er enhederne fra Practecol og Zmodo, som ikke tjekker om sikkerhedscertifikatet, som benyttes i forbindelse med krypteringen af trafikken, er gyldigt. Dette gør, at nærmest hvem som helst kan afskære og dekryptere trafikken.

»Den eneste forklaring er, at disse selskaber aldrig har gennemført en sikkerhedsvurdering af disse enheder,« skriver Dark Cubed. Det pointeres også, at enhederne, som der ikke blev fundet alvorlige mangler ved, ikke er nævneværdig dyrere end mange af de usikre enheder.

Ingen kryptering

Alle enhederne fra Merkury Innovations, inklusive lyspæren, benytter det, Dark Cubed omtaler som en meget usikker implementering af protokollen MQTT (Message Queuing Telemetry Transport), hvor blandt andet meddelelseskøerne i de forskellige enheder, samt brugernavn og password, overføres ukrypteret over netværket mellem enhederne og den tilhørende Android-applikation.

Dette kan gøre det let for uvedkommende at følge med i, for eksempel om lyspæren tændes eller slukkes. Med lidt mere viden er det også muligt for ondsindede at manipulere enhederne. Den eneste måde at hindre dette på er at frakoble enhederne.

»Vi er helt klart bekymrede over netop disse enheder, men vi mistænker stærkt, at sikkerhedsproblemerne, vi har fundet, er repræsentative for det faktum, at disse selskaber ikke vurderer sikkerhed så vigtig, at de ikke engang har foretaget en eneste sikkerhedsvurdering af disse enheder. Ingen sikkerhedsorienteret person ved disse selskaber ville have sat disse enheder til salg i deres nuværende tilstand,« skriver sikkerhedsforskerne.

Appene gør det værre

Det er muligvis begrænset, hvor meget skade en wifi-tilknyttet lyspære kan forårsage alene. Men den aktuelle lyspære, der omtales i rapporten, skal styres ved hjælp af en applikation, der hedder Geeni. Med den kan lyspæren blandt andet dæmpes eller tændes eller slukkes på bestemte tidspunkter.

Sikkerhedsforskerne mener, at appen er direkte skræmmende. På mobilen kræver den nemlig en række tilladelser, der anses som værende følsomme. Disse inkluderer adgang til brugerens position, mulighed for at optage lyd og adgang til at lagre i enhedens eksterne hukommelse. Derudover beder den om SYSTEM_ALERT_WINDOW-tilladelse. Google angiver, at det er meget få applikationer, som bruger denne tilladelse, da den er tiltænkt interaktion med brugeren på systemniveau.

Selv om det kan virke uskyldigt, oplyser sikkerhedsforskerne, at der findes flere beskrivelser på internettet, som fortæller, hvordan dette kan bruges af appudviklere til at stjæle data fra andre applikationer, kompromittere passwords og til at downloade malware på enheden.

Sikkerhedsforskerne understreger, at de ikke har nogen særlig grund til at mistænke Geeni-appen for at gøre dette.

»Men det er noget, der gør os nervøse.«

Forskerne skriver, at Apples strenge krav for godkendelse af apps kan have medført, at nogle af de omtalte svagheder, der er opdaget i Android-udgaverne af appene, ikke er til stede i iOS-udgaverne af de samme apps.

Kommunikerer med mange servere

Derimod kommunikerer appen med en række webservere i både Kina, Hongkong og USA. Den inkluderer også hardcodede links til kinesiske og amerikanske aktører som Alibaba, Facebook, Twitter og Weibo. Dette bruges sandsynligvis til at indsamle persondata til annonceformål.

»Bare ved at dæmpe din lyspære løber du en stor risiko med applikationen på grund af sikkerhedsproblemerne og de lækkede personoplysninger,« skriver sikkerhedsforskerne.

De understreger, at det, at en applikation anmoder om diverse tilladelser, ikke nødvendigvis betyder, at den faktisk benytter sig af disse. Men en fremtidig version af appen kan bruge disse uden at skulle bede om tilladelse igen.

Sikkerhedsforskerne nævner også to andre eksempler på sikkerhedsproblemer med de testede enheder.

Med Guardzilla-enheden fra Practecol er det muligt at udløse falske alarmer bare ved at besøge en given URL i browseren. Med Zmodo-kameraet er det muligt at observere al kommunikation til og fra kameraet, inklusive billeder og video.

Kina

Dark Cubed udtrykker også generel bekymring over Kinas voksende position på IoT-markedet. Sikkerhedsselskabet erkender, at det at et selskab drives fra Kina ikke betyder, at det er et ondsindet firma, men peger på, at forholdet mellem kinesiske selskaber og myndigheder er anderledes, end det er i mange andre lande. Dark Cubed baserer dette på officielle amerikanske rapporter fra FBI og efterretningstjenester.

Det er ikke nødvendigvis bevist, at kinesisk elektronik fungerer som en udvidet del af den kinesiske efterretningstjeneste, men mistanken er der. Blandt andet Huawei arbejder for tiden hårdt på at modbevise disse mistanker mod selskabet.

Som amerikansk aktør mener Dark Cubed, at det ideelt set skal være en USA-baseret, sikkerhedsorienteret leverandør, der står bag IoT-enhedernes hardware, mobilapps og selve platformen, selv om de fysiske enheder produceres i Kina. Det kan ses i illustrationen nedenfor.

Skitse over alle de komponenter, der er involveret i kontrollen af en smart-lyspære. Illustration: Dark Cubed

Set med danske øjne er det tilsvarende ønskeligt, at leverandøren er dansk, eller i hvert fald fra et land, som er underlagt de samme privacy-regler, som findes i Danmark, det vil sige et land i EU/EØS.

Skyen og sikkerhed

I rapporten peges der også på, at enkelte leverandører hævder, at det, at de bruger en amerikansk cloudplatform, gør deres platform sikker. Ovennævnte Merkury bruger en server i Amazon Web Services (AWS), men det fremgår klart, at den ikke er sikker.

Dark Cubed skriver, at det er vigtigt at skelne mellem brug af sikre IoT-platforme fra blandt andet Amazon og Google, og så det at have en almindelig webserver, som kører på en virtuel maskine i for eksempel AWS.

»Amazon har intet ansvar for at sikre infrastruktur, som kører på en virtuel server i AWS, og det bør de heller ikke have,« står der i rapporten.

Der er mange cloud-kunder, der tror, at de fralægger sig ansvaret for sikkerheden, når de tager løsninger i skyen i brug. Det har fået flere til at råbe vagt i gevær.

Skal være sikkert fra begyndelsen

Dark Cubed afslutter rapporten med at skrive, at selv om meget af det, der peges på i rapporten, kan rettes ved hjælp af sikkerhedsopdateringer, så vil det ikke batte meget, fordi sikkerhed kræver kultur og forpligtelser, og så nytter det ikke med en reaktiv tilgang.

»For i det hele taget at være trygge ved at overveje at bruge nogle af disse produkter igen i fremtiden skulle vi have set en betydelig omstrukturering og omstilling i disse selskaber og fokus på at gøre sikkerhed til en prioritet,« skriver sikkerhedsforskerne.

Sikkerhedsforskerne fortæller, at det, som deres undersøgelsen har afdækket, på en måde ikke er kommet som en overraskelse.

»Mange af disse enheder er ikke sikre. Meget af den tilhørende infrastruktur er ikke sikker. Flere af Android-applikationerne er på grænsen til at være farlige at bruge. Det, der dog var overraskende, var det faktum, at nogle af enhederne, som IoT-lyspæren, er så usikre, at det ikke er muligt at betragte det som en fejl,« hedder det i rapporten.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ditlev Petersen

Det, der dog var overraskende, var det faktum, at nogle af enhederne, som IoT-lyspæren, er så usikre, at det ikke er muligt at betragte det som en fejl,« hedder det i rapporten.

Altså skal det betragtes som et bevidst forsøg på at invadere andre lande, andre firmaer eller private boliger? Sådan bare for at have noget at kunne udnytte, hvis behovet en dag skulle vise sig. Eller overfortolker jeg den halvkvædede vise?

Daniel Lindholm

Jeg Undgår så vidt muligt IoT enheder. Men når de er absolut nødvendige får de lov til at komme på min routers gæste-netværk, hvor enhederne ikke kan se hinanden eller tale sammen, men kun får adgang ud på nettet.
Det løser dog ikke alle problemer men hjælper nok lidt.

Tom Paamand

Som gode sikkerhedsforskere burde erkende, på trods af at de selv sidder i USA:
Der er generel bekymring over USAs voksende position på IoT-markedet. Det at et selskab drives fra USA betyder ikke nødvendigvis, at det er et ondsindet firma, men forholdet mellem USAs selskaber og myndigheder er anderledes, end det er i mange andre lande. Som bekendt har der været mange eksempler på, at elektronik fra USA har fungeret som en udvidet del af USAs efterretningstjeneste.

At være troværdigt sikkerhedsbevidst på forbrugernes side kræver, at argumentationen baseres mere på uvildig teknisk indsigt, end på oppustede fjendebilleder.

Lars Petersen

Men når de er absolut nødvendige får de lov til at komme på min routers gæste-netværk, hvor enhederne ikke kan se hinanden eller tale sammen, men kun får adgang ud på nettet.


Hvad skal de IoT'ere ude på nettet?
Jeg sidder og læser denne artikel fordi jeg netop ikke vil have at IoT kontakter nettet, men venter på at blive kontaktet at særligt udvalgte dimser på det interne net. Det være sig familiens pc'ere, tablets og telefoner.
Min IoT printer behøver ikke kommunikere med hverken nettet eller andre IoT'ere.

Daniel Lindholm

Behovene er forskellige. Et webkamera eller en temperatursensor, tyverialarm eller lignende har du måske behov for at kunne tilgå når du ikke er hjemme, men de har ikke noget behov for at tale med andre enheder på hjemmenetværket.
Et tv/tvbox, etc, har måske behov for at tilgå nettet for at streame video imens apparatet benyttes.
Mange enheder vil have behov for at downloade sw opdateringer.

Maciej Szeliga

Behovene er forskellige. Et webkamera eller en temperatursensor, tyverialarm eller lignende har du måske behov for at kunne tilgå når du ikke er hjemme, men de har ikke noget behov for at tale med andre enheder på hjemmenetværket.
Et tv/tvbox, etc, har måske behov for at tilgå nettet for at streame video imens apparatet benyttes.
Mange enheder vil have behov for at downloade sw opdateringer.


Men du kan tilgå mange ting via VPN i stedet for via de webtjenester som man bruger for at det skal være "smart".
Jeg har f.eks. også den slags setup og jeg bruger ingen af leverandørernes webløsninger for jeg stoler ikke på at producenterne kan håndtere sikkerheden - det er selvf. mere besværligt og det virker ikke for ting som alarmer - på den anden side: hvis det var gjort ordentligt så ville de også åbne for mulighede af at køre serveren SELV og ikke kun gennem deres servere.
Der er ingen dokumentation what so ever!

Hans Nielsen

"Hvad skal de IoT'ere ude på nettet?"

Nogle enheder styres extern via en hjemmeside/konto/server
Amazon og Google enheder skal sende det du har sagt, efter dit aktiviereings ord ud og databehandles i skyen. Enheden selv er meget dum.
Hvis nogle enheder skal tale sammen, som HUE Light og ALEXA, så sker det også ude i byen-
Så når du, og slukker eller dæmper lystet, evt via tale, så sker det ude i byen.
Måske bruger du ifttt til at øge temperturen i guldvaremen, på grund af fremtidige vejrudsigter.

Fordelen er at du kan få alle, eller mange enheder til at tale sammen og styres det fra et sted. Du får også gemt din opsætning, og du kan tilgå det alle steder fra.

Udlempen er sikkerhed, at tingene måske ikke virker uden net, og den manglende tilid man må have til udvikler som ikke overholder GDPR.

Mange ting kan tages hjem og kan styres fra en raspberry pi, men det er svære og mere besværligt.

Sonoff og mange ligende kompatimple enheder, kan flashes med åben software, og styres hjemme fra.

OBS. Køb de orginale, af sikkerheds grunde. Der er meget knyt, når vi taler en helt enhed med WIFI og fragt til under de 80,- kr. SÅ man undgår postnords dumme bøde.

https://www.ebay.com/itm/Sonoff-ITEAD-Module-433Mhz-WiFi-Wireless-Smart-...

Log ind eller Opret konto for at kommentere

Med denne SDR kan hackere fjernstyre kraner og vildlede store skibe

1

Nike gør smart-sko dumme igen med opdatering til Android-app

5

Intenet of Things: Køleanlæg i madbutikker og sygehuse ligger frit tilgængelige på nettet

2
I samarbejde med jobfinder logo - Danmarks største job- og karrieresite for ingeniører og it-professionelle.
Mest debatteredeMest læste
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder