"Pametne" igrače v neumnih oblakih

Da oblaki in zasebnost brez šifriranja in resne varnosti ne gredo ravno najbolje skupaj, vemo že dolgo časa. Kljub temu pa se najdejo junaki, ki se jim zdi, da temu ni tako. Eni takih so proizvajalci linije igrač s pomenljivim imenom Cloud Pets. Gre za igrače, s pomočjo lahko starši katerih ob pomoči pametnega mobilnika otrokom pošiljajo zvočna sporočila, otroci pa jim pozdrave vračajo.

Ker gre za “pametno” igračo (IoT tokrat pomeni Internet of Toys), je zraven potrebno vtakniti še kakšen modni pridevnik. Eden takih je seveda “oblak”.

Tehnično je prenos zvočnih posnetkov, ki si jih preko igrače pošiljajo starši in otroci potekal preko interneta. Da pa bi si zadevo poenostavili, so pri Cloud Pets uporabniške podatke, ki vključujejo tudi registrirane e-naslove ter celo osebne podatke otrok, ki jih v aplikacijo vnesejo starši, shranjevali kar v MongoDB bazo na internetu. Še več, v bazo so se shranjevali tudi zvočni posnetki (več kot 2 milijona!).

In da ne bi bilo nepotrebnega kompliciranja, je bila baza dostopna na javnem IP naslovu, za dostop do baze preko standardnih vrat 2701 pa ni bila potrebna nikakršna avtentikacija.

Jasno, ni trajalo dolgo, da je zadevo poindeksiral Shodan, a žal se je “zabava” s tem šele začela.

Obstoj baze je najprej konec lanskega leta (oh, seveda, na praznik!) odkril nek varnostni raziskovalec, ki se je odločil za odgovorno razkritje – o bazi je skušal obvestil podjetje, ki igrače izdeluje.

Žal ni šlo, saj se podjetje ni odzivalo na poslano e-pošto. Raziskovalec je podjetje skušal kontaktirati tudi preko njihovega ponudnika dostopa do interneta, a kot kaže, pri podjetju sploh niso brali elektronske pošte. Kasneje se je izkazalo, da je podjetje v približno istem času skušal kontaktirati še nek drug raziskovalec, a ravno tako neuspešno.

Nadaljnje raziskovanje je pokazalo, da je gesla iz baze, ki so bila sicer ustrezno šifrirana z algoritmom za izračun kontrolne vsote bcrypt, mogoče dokaj enostavno razbiti, saj je večina staršev nastavila zelo kratka in enostavna gesla. Še nadaljnje raziskovanje je pokazalo, da sta se na spornem IP naslovu nahajali testna in produkcijska baza, zvočni posnetki v obliki WAV datotek pa so bili brez kakšne posebne avtentikacije dostopni preko spleta – napadalec je moral odkriti zgolj točen URL.

Če ste na tej točki pomislili, da stvari ne morejo biti še slabše, ste se žal zmotili.

1. in 8. januarja letos sta dve skupini napadalcev bazo “zasegli” in za njeno vračilo zahtevali odkupnino. Šele od 13. januarja letos baza ni več javno dostopna. Koliko napadalcev je do baze medtem uspešno dostopalo, ostaja neznanka.

Kot rečeno, se podjetje na poslano e-pošto ni odzivalo, prav tako je od konca junija lani mrtev tudi njihov Twitter račun. Predstavnikov podjetja ni bilo mogoče priklicati niti po telefonu. Podjetje vmes kljub temu razvija nove igrače (npr. “pametni” šparovček v obliki prašička) in jih mirno prodaja dalje, z varnostjo ali obveščanjem strank pa se ne ukvarja nihče.

Ker je podjetje popolnoma neodzivno (v prid mu štejemo lahko vsaj to, da se javno ne laže), se varnostni raziskovalci s njegovimi predstavniki v duhu odgovornega razkritja žal niso mogli uskladiti glede časovnega roka objav ranljivosti.

Na srečo je zadeva prišla v javnost in potrošniki imajo sedaj vsaj možnost, da nevarne “pametne” igrače prenehajo uporabljati ter da ne kupujejo novih z verjetno podobnimi ranljivostmi. Če bi varnostni raziskovalci ravnali drugače in zadeve podjetju pomagali pomesti pod preprogo, pa bi se sporne prakse veselo nadaljevale. Vse bi “ostalo v družini”, predstavniki podjetja pa bi lahko mirno zatrjevali, da “dokazov, da bi kdor koli že v resnici zlorabil ranljivost … in iz podatkovnih baz ukradel podatke …” pač ni.

Za konec pa se lahko še vprašamo ali bi preko takšne igrače neznanci lahko tudi komunicirali z otrokom in mu pošiljali kakšna neprimerna sporočila… Zdaj, ko je javnost obveščena o problemu, je verjetnost, da pride do tega precej manjša. A v prodaji so tudi druge igrače, ki morda vsebujejo podobne ali še hujše ranljivosti.

Več o tehničnih podrobnostih ter celotnem incidentu si lahko preberete na blogu Troya Hunta.