» »

"Pametne" igrače v neumnih oblakih

"Pametne" igrače v neumnih oblakih

Baza Cloud Pets v oblaku.

Razbitje neustreznih gesel.

Slo-Tech - Da oblaki in zasebnost brez šifriranja in resne varnosti ne gredo ravno najbolje skupaj, vemo že dolgo časa. Kljub temu pa se najdejo junaki, ki se jim zdi, da temu ni tako. Eni takih so proizvajalci linije igrač s pomenljivim imenom Cloud Pets. Gre za igrače, s pomočjo lahko starši katerih ob pomoči pametnega mobilnika otrokom pošiljajo zvočna sporočila, otroci pa jim pozdrave vračajo.

Ker gre za "pametno" igračo (IoT tokrat pomeni Internet of Toys), je zraven potrebno vtakniti še kakšen modni pridevnik. Eden takih je seveda "oblak".

Tehnično je prenos zvočnih posnetkov, ki si jih pošiljajo starši in otroci potekal preko interneta, da pa bi si zadevo poenostavili, so pri Cloud Pets uporabniške podatke, ki vključujejo tudi registrirane e-naslove ter celo osebne podatke otrok, ki jih v aplikacijo vnesejo starši shranjevali kar v MongoDB bazo na internetu. Še več, v bazo so se shranjevali tudi zvočni posnetki (več kot 2 milijona!).

In da ne bi bilo nepotrebnega kompliciranja, je bila baza dostopna na javnem IP naslovu, za dostop do baze preko standardnih vrat 2701 pa ni bila potrebna nikakršna avtentikacija.

Jasno, ni trajalo dolgo, da je zadevo poindeksiral Shodan, a žal se je "zabava" s tem šele začela.

Obstoj baze je najprej konec lanskega leta (oh, seveda, na praznik!) odkril nek varnostni raziskovalec, ki se je odločil za odgovorno razkritje - o bazi je skušal obvestil podjetje, ki igrače izdeluje.

Žal ni šlo, saj se podjetje ni odzivalo na poslano e-pošto. Raziskovalec je podjetje skušal kontaktirati tudi preko njihovega ponudnika dostopa do interneta, a kot kaže, pri podjetju sploh niso brali elektronske pošte. Kasneje se je izkazalo, da je podjetje v približno istem času skušal kontaktirati še nek drug raziskovalec, a ravno tako neuspešno.

Nadaljnje raziskovanje je pokazalo, da je gesla iz baze, ki so bila sicer ustrezno šifrirana z algoritmom za izračun kontrolne vsote bcrypt, mogoče dokaj enostavno razbiti, saj je večina staršev nastavila zelo kratka in enostavna gesla. Še nadaljnje raziskovanje je pokazalo, da sta se na spornem IP naslovu nahajali testna in produkcijska baza, zvočni posnetki v obliki WAV datotek pa so bili brez kakšne posebne avtentikacije dostopni preko spleta - napadalec je moral odkriti zgolj točen URL.


Če ste na tej točki pomislili, da stvari ne morejo biti še slabše, ste se žal zmotili.

7. in 8. januarja letos sta dve skupini napadalcev bazo "zasegli" in za njeno vračilo zahtevali odkupnino. Šele od 13. januarja letos baza ni več javno dostopna. Koliko napadalcev je do baze medtem uspešno dostopalo, ostaja neznanka.

Kot rečeno, se podjetje na poslano e-pošto ni odzivalo, prav tako je od konca junija lani mrtev tudi njihov Twitter račun. Predstavnikov podjetja ni bilo mogoče priklicati niti po telefonu. Podjetje vmes kljub temu razvija nove igrače (npr. "pametni" šparovček v obliki prašička) in jih mirno prodaja dalje, z varnostjo ali obveščanjem strank pa se ne ukvarja nihče.

Ker je podjetje popolnoma neodzivno (v prid mu štejemo lahko vsaj to, da se javno ne laže), se varnostni raziskovalci s njegovimi predstavniki v duhu odgovornega razkritja žal niso mogli uskladiti glede časovnega roka objav ranljivosti. Na srečo je zadeva prišla v javnost in potrošniki imajo sedaj vsaj možnost, da nevarne "pametne" igrače prenehajo uporabljati ter da ne kupujejo novih z verjetno podobnimi ranljivostmi. Če bi varnostni raziskovalci ravnali drugače in zadeve podjetju pomagali pomesti pod preprogo, pa bi se sporne prakse veselo nadaljevale. Vse bi "ostalo v družini", predstavniki podjetja pa bi lahko mirno zatrjevali, da "dokazov, da bi kdor koli že v resnici zlorabil ranljivost ... in iz podatkovnih baz ukradel podatke ..." pač ni.

Za konec pa se lahko še vprašamo ali bi preko takšne igrače neznanci lahko tudi komunicirali z otrokom in mu pošiljali kakšna neprimerna sporočila... Zdaj, ko je javnost obveščena o problemu, je verjetnost, da pride do tega precej manjša. A v prodaji so tudi druge igrače, ki morda vsebujejo podobne ali še hujše ranljivosti.

Več o tehničnih podrobnostih ter celotnem incidentu si lahko preberete na blogu Troya Hunta.

18 komentarjev

Shalabajzer ::

Hja, pri igračah ima potrošnik vsaj izbiro. Je pač naslednjič ne bo kupil od take firme. Pri Ajpesu izbire ni.

vostok_1 ::

Meni že ko rečeš cloud, se skušam izognit v dolgem loku.

Da bi prostovoljno oddajal informacije kar tako vsakemu ki ima 5 minut časa, da vzpostavi en server. Yeah right.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

dronyx ::

Mal še varnost poštimajo, pa jih bodo Kitajci kupili za par milijard. Če je Talking Tom vreden milijardo, so tile plišasti domači ljubljenčki vsaj nekajkrat več. Moj medo se spomnim da je bil še z žaganjem napolnjen.

Ribič ::

Tele pametne igrače so ena sama štala. Prepričan sem, da bomo v prihodnosti še velikokrat brali v novicah kaj vse je šlo narobe.
Mimo grede, ali se kdo spozna kako je glede teh pametnih igrač na našem trgu? Koliko je že tole razširjeno pri nas?

lp

SeMiNeSanja ::

Samo vseeno ne razumem, kako lahko rečejo, da ni mogoče stopiti v stik z podjetjem.
Če bi to bilo nemogoče, potem tudi nebi bilo možno naročati njihovih izdelkov za prodajo? Torej bi morali biti najmanj prodajni zastopniki dostopni. Ti bodo seveda rekli 'no comment', ampak bi te morali tudi znati preusmeriti naprej na osebo, katera lahko kaj komentira.

Skratka malenkost za lase privlečeno, da jih nikakor ni mogoče kontaktirat. Prej bi rekel, da so ubrali povsem napačno pot.

Seveda pa to ne spremeni dejstva, da je vsa implementacija popolna katastrofa, pa da je nujna takojšna prepoved prodaje tovrstnih izdelkov.

Pravzaprav bi se morala industrija in uporabniki dogovoriti za neke minimalne standarde, po katerih bi morali proizvajalci certificirati tovrstne Cloud izdelke, predenj jih lahko dajo v prodajo.
Taka certifikacija pa bi zajemala tudi razpoložljivost in odzivnost tehnične podpore v primeru razkritja ranljivosti, hkrati pa bi tudi potrdila, da je izdelek že v osnovi tako zasnovan, da do tovrstnih neumnosti, kot v tem primeru ne more priti.

Če moraš zadeve certificirati na elektro ustreznost, čim imajo vtikač, ne vidim razloga, zakaj naj nebi bilo treba certificirati na IP varnost, čim ima izdelek IP povezljivost.

shadeX ::

dronyx je izjavil:

Mal še varnost poštimajo, pa jih bodo Kitajci kupili za par milijard. Če je Talking Tom vreden milijardo, so tile plišasti domači ljubljenčki vsaj nekajkrat več. Moj medo se spomnim da je bil še z žaganjem napolnjen.



No no pretiravat pa res ni potreba. Talking toma pozna vsak odrasel, da o otrocih ne govorim. Skozi leta so si gradili brand in dosegli kar pač so.

Za te "cloud pets", pa sem prvič slišal v tej novici. Verjamem da tudi ostalih 98% slotehovcev.

Dr_M ::

To je pa to, ko folk zivi v oblakih.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

vostok_1 ::

Te opice res nimajo kaj več delat. Nekoč so še pristajale na luno, sedaj pa sam neke virtual pets delajo pa slikarijo zajtrke. Tsk tsk.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

d4vid ::

vostok_1 je izjavil:

Meni že ko rečeš cloud, se skušam izognit v dolgem loku.

Da bi prostovoljno oddajal informacije kar tako vsakemu ki ima 5 minut časa, da vzpostavi en server. Yeah right.


Jaz veselo furam backup slik na GDrive. Sem si pa postavil owncloud na domacem serverju da lahko hitro izmenjujem datoteke med delovno postajo v sobi in enim starim prenoscom, ki je povezan na 3D tiskalnik.
Main PC: Asus PN50 | AMD Ryzen 5 4500U | 16 GB RAM | 256 GB SSD
PC2: HP Z400 | Intel Xeon L5630 | 6 GB RAM | 120 GB SSD
Laptop: HP Elitebook 840G1 | Intel i5 | 8 GB RAM | 256 GB SSD

vostok_1 ::

I wish you the best of luck sir.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

jype ::

d4vid> Jaz veselo furam backup slik na GDrive.

Jaz občutljivih reči sploh ne bi nikoli fotografiral s telefonom, četudi imam izključeno vsako sinhronizacijo s katerokoli on-line storitvijo.

Zmerno zaupam DSLRjem, ki nimajo brezžične povezljivosti, kjer sam nadziram fizično premikanje medija v drugo napravo in na njej branje z njega.

globoko grlo ::

Eno malo off vprašanje. A je gmail kj drugačen od teh oblačkov?
Gigabyte B460M DS3H | I5 - 10400F | 16GB | 6700XT | P2 m.2 500GB

jype ::

Na kakšen način drugačen?

Načeloma ne.

vostok_1 ::

globoko grlo je izjavil:

Eno malo off vprašanje. A je gmail kj drugačen od teh oblačkov?


Gmail je bolj varen proti običnim script-kiddies. Tam te posiljujejo profiči, pretežno legalno.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

shadeX ::

Jype
Jaz občutljivih reči sploh ne bi nikoli fotografiral s telefonom, četudi imam izključeno vsako sinhronizacijo s katerokoli on-line storitvijo.


1. Kaj so občutljive stvari?
2. Ne bit tolk paranoični, saj niste pomembni politiki, zvezdniki ali druge znane osebnosti :)

jype ::

shadeX> 1. Kaj so občutljive stvari?

Zdravstvena dokumentacija, na primer.

shadeX> 2. Ne bit tolk paranoični, saj niste pomembni politiki, zvezdniki ali druge znane osebnosti :)

Who cares? Monetizacija je monetizacija.

SeMiNeSanja ::

Najbl občutljiva stvar pri jajpetu je zračnica na njegovem peciklu :))

myriad ::

Zgodovina sprememb…

  • spremenilo: myriad ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoftu že leta 2013 vdrli v bazo ranljivosti

Oddelek: Novice / Varnost
64265 (3516) Matwic
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20174726 (57280) jukoz
»

Evropska komisija zaskrbljena zaradi pametnih igrač

Oddelek: Novice / Zasebnost
123890 (2757) Saul Goodman
»

"Pametne" igrače v neumnih oblakih

Oddelek: Novice / Zasebnost
185181 (3991) myriad
»

Pametne otroške igrače so lahko veliko tveganje (strani: 1 2 )

Oddelek: Novice / Ostale najave
5012710 (9277) OK.d

Več podobnih tem