Apri le porte del garage in qualsiasi parte del mondo sfruttando questo dispositivo “intelligente” – Ars Technica

L’unità di controllo della porta del garage leader di mercato è piena di vulnerabilità di sicurezza e privacy così gravi che il ricercatore che l’ha scoperta consiglia a chiunque la utilizzi di scollegarla immediatamente fino a quando non può essere riparata.

Ogni dispositivo da $ 80 per aprire e chiudere le porte del garage, controllare gli allarmi di sicurezza domestica e le prese di corrente intelligenti utilizza la stessa password generica facile da trovare per comunicare con i server Nexx. I controller trasmettono anche l’indirizzo e-mail non crittografato, l’ID del dispositivo e il nome e il cognome corrispondenti a ciascuno, insieme al messaggio richiesto per aprire o chiudere la porta, accendere o spegnere la presa intelligente o programmare tale comando per un successivo tempo.

Scollega immediatamente tutti i dispositivi Nexx

Il risultato: chiunque abbia un background tecnico moderato potrebbe cercare nei server Nexx un indirizzo e-mail, un ID dispositivo o un nome e quindi inviare comandi alla console associata. (I controller Nexx per gli allarmi di sicurezza domestica sono vulnerabili a una classe di vulnerabilità simile.) I comandi consentono di aprire la porta, spegnere un dispositivo collegato a una presa intelligente o disattivare l’allarme. Ancora peggio, negli ultimi tre mesi, i dipendenti Nexx con sede in Texas non hanno risposto a più messaggi privati ​​di avviso di vulnerabilità.

Scritto dal ricercatore che ha scoperto le vulnerabilità in Ultimo post martedì. “I proprietari dei dispositivi dovrebbero disconnettere immediatamente tutti i dispositivi Nexx e creare ticket di supporto con l’azienda chiedendo loro di risolvere il problema.”

Il ricercatore stima che più di 40.000 dispositivi, situati in proprietà residenziali e commerciali, siano stati colpiti e più di 20.000 persone abbiano account Nexx attivi.

I controller Nexx consentono alle persone di utilizzare i propri telefoni o assistenti vocali per aprire e chiudere le porte del garage, su richiesta o in orari specifici della giornata. I dispositivi possono anche essere utilizzati per controllare gli allarmi di sicurezza domestica e le prese intelligenti utilizzate per accendere o spegnere gli elettrodomestici da remoto. Il fulcro di questo sistema sono i server gestiti da Nexx, con i quali comunicano sia il telefono o l’assistente vocale che l’apriporta del garage. Il processo in cinque fasi per la registrazione di un nuovo dispositivo è simile al seguente:

1. L’utente utilizza l’app mobile Nexx Home per registrare il nuovo dispositivo Nexx con Nexx Cloud.
2. Dietro le quinte, Nexx Cloud restituisce una password del dispositivo da utilizzare nelle comunicazioni sicure con Nexx Cloud.
3. La password viene inviata al telefono dell’utente e inviata al dispositivo Nexx tramite Bluetooth o Wi-Fi.
4. Il dispositivo Nexx stabilisce una connessione separata con il Nexx Cloud utilizzando la password fornita.
5. L’utente può ora azionare la porta del garage da remoto utilizzando l’app mobile Nexx.

Ecco una spiegazione del processo:

Una password generica facile da trovare

Per fare tutto questo lavoro, le console utilizzano un protocollo leggero noto come MQTT. Abbreviazione di Message Queuing Remoting, viene utilizzato in reti a bassa larghezza di banda, ad alta latenza o altrimenti instabili per promuovere comunicazioni efficienti e affidabili tra dispositivi e servizi cloud. Per fare ciò, Nexx utilizza a Modulo di iscrizione postalein cui viene inviato un unico messaggio tra i dispositivi condivisi (telefono, assistente vocale, apriporta garage) e un mezzo centrale (il cloud Nexx).

Il ricercatore Sam Sabetan ha scoperto che i dispositivi utilizzano la stessa password per comunicare con il cloud Nexx. Inoltre, è possibile accedere facilmente a questa password semplicemente analizzando il firmware fornito con il dispositivo o la comunicazione avanti e indietro tra il dispositivo e il cloud Nexx.

“L’utilizzo di una password comune per tutti i dispositivi è una grave vulnerabilità di sicurezza, poiché gli utenti non autorizzati possono ottenere l’accesso all’intero ecosistema ottenendo la password condivisa”, ha scritto il ricercatore. “In questo modo, possono compromettere non solo la privacy ma anche la sicurezza dei clienti Nexx controllando le loro porte da garage senza il loro consenso”.

Quando Sabetan ha utilizzato questa password per accedere al server, ha trovato rapidamente non solo connessioni tra la sua macchina e il cloud, ma anche connessioni ad altri dispositivi Nexx e al cloud. Ciò significa che può vagliare gli indirizzi e-mail, i cognomi, le iniziali e gli identificatori del dispositivo di altri utenti per identificare i clienti in base alle informazioni univoche condivise in tali messaggi.

Ma le cose stanno peggiorando. Sabetan può copiare i messaggi emessi da altri utenti per aprire le loro porte e riprodurli a piacimento, da qualsiasi parte del mondo. Ciò significa che è bastata una semplice operazione di copia e incolla per controllare qualsiasi dispositivo Nexx, indipendentemente da dove si trovi.

Ecco un video dimostrativo che mostra l’hacking:

Questo evento fa venire in mente il logoro cliché secondo cui la S in IoT – abbreviazione del termine generico Internet of Things – sta per sicurezza. Sebbene molti dispositivi IoT offrano praticità, un numero allarmante è progettato con protezioni di sicurezza minime. Un firmware obsoleto con vulnerabilità note e impossibilità di aggiornamento è tipico, così come una miriade di difetti come credenziali crittografate, bypass dell’autorizzazione e falsi controlli di autenticazione.

Chiunque utilizzi un dispositivo Nexx dovrebbe considerare seriamente di disabilitarlo e sostituirlo con qualcos’altro, sebbene l’utilità di questo consiglio sia limitata poiché non vi è alcuna garanzia che le alternative siano più sicure.

Con così tanti dispositivi a rischio, la US Cybersecurity and Infrastructure Security Agency ha emesso un Consulente Suggerisce agli utenti di intraprendere azioni difensive, tra cui:

• Ridurre al minimo l’esposizione della rete a tutti i dispositivi e/o sistemi del sistema di controllo e assicurarsi che lo siano Non è possibile accedervi da Internet.
• Individuare reti di sistemi di controllo e dispositivi remoti dietro i firewall e isolarli dalle reti aziendali.
• Quando è richiesto l’accesso remoto, utilizzare metodi sicuri, come le reti private virtuali (VPN), per identificare quali VPN potrebbero presentare vulnerabilità e dovrebbero essere aggiornate all’ultima versione disponibile. Inoltre, sappi che una VPN è sicura solo quanto i suoi dispositivi connessi.

Naturalmente, è impossibile implementare queste procedure quando si utilizzano le console Nexx, il che ci riporta all’insicurezza generale dell’Internet of Things e al consiglio di Sabetan di abbandonare semplicemente il prodotto a meno che non arrivi una correzione o fino a quando non arriva.