Súlyos biztonsági hibák az Osram okos villanykörtéiben
Felmerül a kérdés: amatőr programozók fejlesztik az Osram okos villanykörtés rendszeréhez tartozó szoftvereket? A triviális hibák mögött komoly kompetenciahiányosság és a vállalati kultúra problémája is felmerül.
Súlyos biztonsági sebezhetőségeket talált az Osram Sylvania Lightify és Lightify Pro okoségő-családjában a Rapid7. A neves IT-biztonsági csapat négy különböző hibát térképezett fel a sima Lightify és ötöt a vállalati környezetbe szánt Lightify Pro termékvonalban.
A 2015-ben bejelentett okoségők és a hozzájuk tartozó szoftverplatform (központi vezérlőegység és mobilapp) alapos vizsgálata több komoly problémát is feltárt. Az egyik kevésbé súlyos hiányosság, hogy az iOS-es mobilapp a vezérléshez használt Wi-Fi hálózat jelszavát (PSK-t) sima szövegként tárolja az eszközön, ez pedig kiolvasható, ennek birtokában pedig csatlakozni lehet az adott hálózathoz. Súlyosabb probléma az SSL certificate pinning hiánya, vagyis közbeékelődő támadó el tudja hitetni a mobilappal, hogy ő az okoségő, az égővel, pedig azt, hogy ő a mobilapp, így meg tudja figyelni és módosítani tudja a kettő között folyó forgalmat.
A központi vezérlőállomáson futó hálózati szolgáltatások vizsgálata nyomán jutott arra a Rapid7, hogy amikor nem érhető el internetes kapcsolat, akkor a helyi vezérlésre a rendszer a 4000-es TCP portot használja, minden hitelesítés nélkül. Az ide küldött parancsokat a rendszer kérdés nélkül végrehajtja, legyen az az égők le-fel kapcsolása vagy a vezérlőegység újrakonfigurálása.
Elementáris hiba azonban, hogy az Osram valamiért nem implementálta a Zigbee szabvány ugrókódos részét, vagyis nem cseréli rendszeresen a kommunikációhoz használt kulcsot. Ez azt jelenti, hogy a parancsok lehallgatásával és újrajátszásával is támadható a rendszer - minden egyéb, fejlettebb támadási forma bevetése nélkül. Ez azt jelenti, hogy ha a vezeték nélküli hálózathoz nyitott a hozzáférés, gyakorlatilag bárki vezérelheti a világítást - pont úgy, mintha a tévéket kezdené kapcsolgatni univerzális távirányítóval.
A Lightify Pro webes konzolja is triviálisan támadható (ilyenje nincs a nem-Pro verziónak), különböző XSS-módszerekkel, köszönhetően annak, hogy a szoftver nem szűri (szanitálja) a külső stringeket. Így parancs szúrható be például a rendszerlogba (a beléptető dialógusból) vagy támadó SSID neveként is tud tartalmat injektálni a webes felületre, ami például külső tartalom futtatására veheti rá a böngészőt.
Az már csak hab a tortán, hogy az eszközök alapértelmezett Wi-Fi-jelszava csak nyolc karakteres és alfanumerikus (speciális karaktereket nem használ), így a WPA2 PSK mindössze néhány óra alatt törhető.
Nem a konkrét sebezhetőség a probléma
A viszonylag felületes elemzés tehát több olyan szoftveres hibára is rávilágít, amelyek IT-biztonsági körökben tényleg eleminek és triviálisnak számítanak. Ez azért különösen ijesztő, mert rámutat, hogy az Osram (vagy az általa megbízott külsős szoftverfejlesztő) a biztonságos programozás alapvető irányelveit sem tartja be a termék fejlesztésekor. Felmerül a kérdés, hogy egy mélyebb elemzés, amely az égőkön és a központi vezérlőn futó szoftvert alaposabban vizsgálja, milyen további hibákat tárhat fel.
A problémával nem csak az Osram küzd, ugyanilyen nevetséges sebezhetőségekkel van tele a Nissan, a Chrysler, a Mitsubishi vagy épp a BMW által fejlesztett szoftver is. Ez pedig különösen aggasztó abban a korban, amikor a digitalizációs hullámnak köszönhetően olyan cégektől várnak hirtelen a vásárlók fejlett informatikai kompetenciát, amelyektől ez a terület egész egyszerűen idegen, és mondjuk egy weboldal vagy ERP rendszer üzemeltetésénél sosem volt komplexebb feladata, saját szoftver fejlesztésével pedig egyáltalán nem szerzett tapasztalatot.
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
A cégek ráadásul arra sincsenek felkészülve, hogy a felszoftverezett termékek támogatása egészen más kötelezettségekkel jár, mint a régebbi, "buta" eszközöké. A rendszeresen frissített szoftver ma már kötelező elem egy olyan eszköz esetében, amely kilát az internetre és támadási felületet biztosít - ennek ellenére a Lightify-hoz biztosított újabb firmware-ekre a weben semmi nem utal, nincs fenn például a legfrissebb kiadás verziószáma és a változások listája sem, az update-ek pedig kizárólag a mobilappon keresztül szerezhetőek be.
Telepíteni ki fogja?
A problémát jól illusztrálja például annak a felhasználónak az esete, aki a Lightify égőket nem az alapértelmezett bázisállomással, hanem a Samsung-féle nyílt SmartThings platfommal használja. A Zigbee szabványnak és az átjárható protokolloknak megfelelően erre van lehetőség - a SmartThings azonban nem képes az eszközök firmware-ének frissítésére. Ez azt jelenti, hogy az égőket a Lightify Gateway bázisállomáshoz kell kötni, amely el tudja végezni a frissítést, majd újra felkonfigurálni a SmartThings állomáshoz. Ez még két-három égő esetén is nehéz feladat, tucatnyi vagy több égő esetében egészen abszurd - amit nem csak az egyszerű felhasználók fognak elbliccelni, hanem a haladók is.
A kérdés még fontosabb vállalati felhasználók esetében - nem világos ugyanis, hogy pontosan ki is a felelős mondjuk egy irodai hálózatra kapcsolt okoségő-rendszer üzemeltetéséért. Ez pedig nem elrugaszkodott gondolat, a Lightify Pro rendszer pontosan ilyen környezetbe készült, céges felhasználók számára. Ilyenkor opció lehet egy dedikált Wi-Fi hálózat, ami azonban újabb nehezen áthidalható problémákat vet fel.