Una investigación de seguridad recientemente publicada sugiere que cierta marca de dispositivos domésticos inteligentes tiene vulnerabilidades de software que podrían permitir que un hacker experto los secuestre completamente.La empresa en cuestion,nexx
, vende una variedad de productos IoT, incluidas puertas de garaje, alarmas y enchufes de pared conectados a Internet. Todos estos productos están diseñados para emparejarse con la aplicación de Nexx, que permite a los usuarios monitorear y controlar de forma remota el entorno de su hogar desde lejos. Bueno, pero, desafortunadamente, las fallas de software descubiertas recientemente en el conjunto de dispositivos de Nexx parecen significar un gran problema para cualquiera que los use.Sam Sabetan, el investigador de seguridad que se topó con el pequeño problema de Nexx, dice que los errores podrían permitir que un mal actor secuestre completamente cada uno de ellos. y cada uno de los productos de la compañía. Suena bastante dramático, ¿verdad? Según Sabetan recientementeinvestigación publicada
, la explotación adecuada de las vulnerabilidades podría permitir que una persona acceda a la información personal de todos los titulares de cuentas de Nexx, incluidas direcciones de correo electrónico y nombres , últimas iniciales y identificaciones de dispositivo. Aún más sorprendente, el acceso proporcionado podría permitir a un títere ciber nte inteligente manipular cualquier dispositivo conectado a Nexx. Esto significa la capacidad de abrir y cerrar puertas de garaje a voluntad, encender y apagar alarmas y desactivar enchufes de pared.
Aplicación Nexx Home: Abrir o cerrar la puerta de garaje
El problema de contraseña de Nexx Todos los problemas de seguridad de Nexxs parece rastrear hacia atrás
a una contraseña problemática que Sabetan encontró mientras investigaba la empresa‘s protecciones de datos. Sabetan dice que inicialmente usóSuite de eructos
, una herramienta de prueba de seguridad, para interceptar el tráfico que fluye hacia y desde su propio dispositivo Nexx. Examinando ese tráfico, Sabetan encontró algo eso parecía…no genial: la contraseña antes mencionada, que estaba descifrada y desprotegida, flotando libremente dentro de la API de la aplicación . Fue una bastante importante.Para comprender el significado de esta contraseña, debe observar cómo los dispositivos IoT normalmente se comunican con sus usuarios. En este caso, los dispositivos inteligentes de Nexx funcionan con un protocolo de red llamado MQTT, abreviatura deTransporte de telemetría de colas de mensajes
. MQTT, que se utiliza con frecuencia en productos de IoT, puede transmitir mensajes hacia y desde un usuario, su dispositivo y la empresa relevante infraestructura en la nube. En el caso de Nexx, el protocolo era responsable de ayudar a enviar comandos entre los tres (es decir, el usuario, el dispositivo, y la nube), incluidos comandos, como decirle a la puerta de un garaje que se abra o que suene una alarma.
Aquí está la parte importante: un servidor, típicamente conocido como “broker” MQTT, es responsable de ayudar a enrutar los datos entre las partes. Fundamentalmente,
una contraseña es necesariapara proteger el servidor MQTT que ayuda a enrutar los datos. Idealmente, debería haber una contraseña diferente para cada dispositivo que se conecte al servidor, dice Sabetan. Desafortunadamente, en el caso de Nexx, no parece haber hecho eso, simplemente usando una contraseña para cada dispositivo. que se conectó a su entorno de nube: la misma contraseña que flotaba en la API de Nexx y que había sido enviada inicialmente a Sabetan .Sabetan dice que la razón por la que la contraseña fundamental se comparte con el usuario en primer lugar es para ayudar a establecer una conexión segura entre el dispositivo Nexx y la nube Nexx cuando el dispositivo está configurando por primera vez. La contraseña se envía inicialmente desde el del entorno de nube de la empresa al teléfono del usuario y luego al dispositivo inteligente Nexx relacionado a través de WiFi o Bluetooth, lo que permite la conexión establecerse y permite al usuario utilizar la aplicación Nexx para interactuar con el dispositivo.
En otras palabras, según Sabetan, lo que Nexx ha hecho equivale a que el administrador de un apartamento entregue la misma llave a cada inquilino. en su edificio; esa llave lo lleva al edificio, pero también a todas las unidades de sus vecinos, y a sus vecinos. puede entrar en su unidad. Esta llave sería bastante fácil de robar, también, imagino.
en su blog
.
Fundamentalmente, el acceso al servidor MQTT no solo permitió a Sabetan ver el tráfico del dispositivo vinculado a otros usuarios de cuentas Nexx, sino que también habría le permitió enviar señales a sus dispositivos si quería (no hizo esto, optó en su lugar por probar el exploit en varios dispositivos Nexx que él mismo había comprado). En otras palabras, le dio el poder de hacer cosas como abrir y cerrar puertas, encender y apagar alarmas y desactivar enchufes de pared. Para demostrar cómo funciona esto, Sabetan hizo un vídeo de él manipulando de forma remota su propia puerta de garaje, que se descompone exactamente cómo hacer :
Vulnerabilidad del garaje inteligente de NexxHome – CVE-2023-1748Nexx no respondeEn su artículo, Sabetan desglosa con más detalle las implicaciones de la decisión de la empresa de utilizar una “contraseña universal” para todo su IoT. productos, calificándolo de un claro compromiso de la “seguridad” de los usuarios:
El uso de una contraseña universal para todos los dispositivos presenta una vulnerabilidad significativa, ya que los usuarios no autorizados pueden acceder a todo el ecosistema al obtener la contraseña compartida. Al hacerlo, podrían comprometer no sólo la privacidad sino también la seguridad de los clientes de Nexx al controlar las puertas de su garaje sin su consentimiento. . Además de estar ampliamente disponible en la API de Nexx, la contraseña codificada también está disponible públicamente en el firmware enviado con el dispositivo.Sabetan dice que contactó a Nexx varias veces en un intento de informar los graves problemas de seguridad, incluso enviando un correo electrónico a la empresa. CEO—pero no recibió respuesta. Sabetan también contactó alAgencia de Seguridad de Ciberseguridad y Infraestructura
