寵物追踪器對MITM攔截攻擊毫不設防

Translated by NotSurprised
Jun 12, 2018

Tara Seals ‧ 2018年5月25日下午3:25

家寵與我們非常親近,所以智慧頸環和其他能跟踪他們位置的動物裝置變得越來越流行;畢竟一個無需張貼丟失寵物傳單的世界絕對是個美好的世界,對吧?但研究人員指出這些裝置的問題,在於這些裝置可能會洩露敏感信息,例如電話號碼,寵物的位置或家庭網路的拓樸。

在檢查了包括 Kippy Vita,Nuzzle Pet Activity 和 GPS Tracker 以及 Whistle 3 GPS 寵物追踪與活動監控器 在內幾款經過充分審查的型號後,卡巴斯基實驗室的測試人員發現了一些應該讓Rover消費者注意的問題。

憂鬱的藍牙

在檢查了一些追踪器後發現一個常見問題,這些問題被歸結為使用了專為低功耗物聯網傳感器應用所定制的”藍牙低功耗”( BLE )。 BLE 實質上是將這些寵物追蹤器連接到所有者的智慧型手機上,但其並不完全遵照藍牙的實施規範,BLE不需要認證就可以配對設備。

研究人員 Roman Unuchek 和 Roland Sako 在本週發布一份概述他們研究的報告中說:「驗證完全取決於設備的開發人員,而過往經驗表明它經常被忽視。」

例如, Nuzzle 設備使用 SIM 卡傳輸寵物的 GPS 坐標,通過 BLE 直接連接到智能手機 - 無需任何授權或存取控制。這意味著任何智能手機都可以連接到追蹤器來控制它並訪問寵物的位置,以及設備狀態信息,例如溫度和電池電量( CVE-2018-7043 )。

Whistle 3 同時也存在 BLE 連接問題。該裝置可以通過其內置的 SIM 卡或 Wi-Fi 將其 GPS 坐標傳輸到其伺服器(如果裝置擁有者提供 Wi-Fi 網路密碼)或通過 BLE 直接向裝置擁有者的智慧型手機傳輸 GPS 坐標。在後一點上,該裝置在與智慧型手機配對之前會等待一系列的動作交互,但那些動作對於第三方來說只是簡單的推斷就可重現,從而獲得對裝置的訪問權限。

在這流程完成之後,這些追踪器即準備接收並執行任何命令; 例如駭客可能會要求設備的坐標位置。

這些有 BLE 前端追蹤器之中唯一例外的是 Link AKC 追踪器。雖然它通過 GPS 監測寵物的位置,並通過內置 SIM 卡將坐標直接通過 BLE 傳輸到手機,但它使用用戶 ID 來驗證移動應用與追蹤器接口的權限。追蹤器還會檢查智能手機的 MAC 地址,作為用戶身份認證的另一層防護。

研究人員說:「該開發者在確保與智能手機的連接方面做了一切正確的事情。」 「我們找不到任何重大問題,這對於支持 BLE 的設備來說是很少見的事。」

此外, Kippy Vita 設備根本不與智能手機直接連接,所以完全沒有BLE問題,而且特別的一點是它使用 SSL 鎖定。 Tractor 和 Weenect WE301 都不能直接與智能手機通信,而是通過內置的 SIM 卡將寵物坐標傳輸到伺服器上。這對於設備的安全非常有幫助。

MITM 問題

除了 BLE 漏洞之外,一些追踪器還存在共享憑證處理和數據傳輸機制的缺陷。只有一個 Android 應用程式通過測試, Android 應用程式( Weenect WE301 )會驗證其伺服器的憑證,而其他應用程式很容易受到中間人( MITM )攻擊。

除了不驗證憑證之外,許多應用程式(包括 Nuzzle , Link AKC 和Whistle 3 )都可以存儲未加密的數據,或將未加密的數據傳輸到logcat 文件中。該數據可能包括應用程式的授權 token,寵物的位置和用戶註冊數據(包括姓名和電子郵件地址)。因此,一個發起 MITM 攻擊的駭客可以攔截數據傳輸或直接獲取到文件。

Kippy Vita 的 Android 應用程式在將重要數據保存到自己的文件夾之前會對其進行加密,但它會記錄傳輸到伺服器的數據。

研究中的兩個設備似乎可以避免被卡巴斯基申報 CVE:Tractive 和 Weenect WE301 。然而,不幸的是研究發現其 Android 應用程式也不會驗證伺服器憑證,它們以未加密的形式存儲身份驗證 token 和寵物的移動數據。

也就是說,即使日誌記錄問題因為在 Android 4.1 和更新版本中,只有一些具有超級用戶權限的系統應用或應用可以讀取其他程序的日誌而有些許緩解,但仍存在其問題。

研究人員說:「應該指出的是,這些數據雖然並不容易被竊取,這是因為其他應用程式無法讀取它,但是有些木馬可以通過利用超級用戶權限從其他應用盜取數據。」

其他問題

同時,其中兩個追踪器可以被停用或隱藏自身不讓所有者找到。

例如,可以通過更改 DAT 文件中的雜湊值來在 Nuzzle 追蹤器上安裝修改後的軟體 - 這可以用來使該設備停止運作。也許最糟糕的是,只需通過智慧型手機連接到追蹤器,攻擊者就可以隱藏寵物的位置。

「為了節省電池電量,如果工具已經成功通過 BLE 發送,它就不會通過行動網路來傳輸坐標,」Unuchek 和 Saco 說。

攻擊者也可以隱藏 Whistle 3 來不讓寵物主人找到。如果駭客持續傳輸設備位置的命令,該裝置將不會通過 SIM 卡來發送位置數據,因為它會假定這些數據已被直接接收。而且,它還無需任何身份驗證就可以將數據傳輸到伺服器,因此攻擊者可以用假寵物坐標來替換。

這只是又一個對物聯網安全的警示

當相互連接的東西越來越深入到我們的日常生活中,從恆溫器到亞馬遜 Echo 或洗衣機/烘乾機等各種設備,現在都在為消費者提供便利和安全的應用程式,想讓他們的生活變得更加輕鬆 - 並且更加易於使用。寵物追蹤器類連接的裝置為這個進步訴求增加了一層陰影,但要求對這些漏洞關注聲浪可能會提醒製造商對問題做出應對。

Synopsys 首席安全工程師 Chris Clark 告訴 Threatpost :「誰知道 FIDO 何時會決定自己去檢查他們的藍牙LE 和支援 cellular 的 GPS 是否可被網路攻擊者當做切入點?在物聯網設備上實現安全性需要多層次的方法,加密流量或啟用身份驗證只是其複雜難題的一部分。在急於上市時,開發人員常忽略了本研究中突出顯示的許多細微差別。研究人員展示了在產品開發團隊中建立安全開發的能力是多麼重要,或是與值得信賴的合作夥伴一起工作,而這些合作夥伴在將產品推向市場之前具有應對網路安全挑戰的經驗和能力。」

※註:Fast Identification Online ( FIDO ) ※註:Cellular 代表著支援 4G LTE、3G、 HSPA、HSPA+ 和 DC-HSDPA 行動網路之統稱。

他補充說,雖然這項研究的重點是 GPS 和 BLE ,但攻擊路徑中的弱點可以在多個行業的產品中找到。

他說:「這項研究突顯了物聯網領域面臨的更大挑戰,我如何生產安全的物聯網設備?儘管一些設備採取一些措施解決了他們所謂的『安全問題』,但研究人員仍然發現每台設備上的其他區域都存在數據洩露和故障。尋求安全性和可用性之間的平衡對於嵌入式物聯網產品開發人員來說仍然是一個挑戰。在很多情況下,使用靜態代碼分析和模糊測試都可能會發現這些漏洞,並確保寵物安全回家。」

Comparitech.com 隱私權倡導者 Paul Bischoff 告訴我們,考慮到對於消費者而言,了解其連接設備的安全狀態是一項挑戰,這一點尤為重要。與我們的智慧型手機和電腦上的網路瀏覽器不同,沒有綠色的鎖可以告訴您,您的物聯網設備是否已連接到正確的伺服器,以及所發送的數據是否已加密。這意味著普通人無法知道駭客是否正在竊取有關追踪器的位置或其他隱私訊息。出於這個原因,物聯網製造商在安全方面需要加強他們的遊戲規則。

本文於 5/29/2018 於 6:11 ET 更新,更新內容來自 Synopsys 和 Comparitech.com 在物聯網安全上的評論。