» »

"Pametne" igrače v neumnih oblakih

"Pametne" igrače v neumnih oblakih

Baza Cloud Pets v oblaku.

Razbitje neustreznih gesel.

Slo-Tech - Da oblaki in zasebnost brez šifriranja in resne varnosti ne gredo ravno najbolje skupaj, vemo že dolgo časa. Kljub temu pa se najdejo junaki, ki se jim zdi, da temu ni tako. Eni takih so proizvajalci linije igrač s pomenljivim imenom Cloud Pets. Gre za igrače, s pomočjo lahko starši katerih ob pomoči pametnega mobilnika otrokom pošiljajo zvočna sporočila, otroci pa jim pozdrave vračajo.

Ker gre za "pametno" igračo (IoT tokrat pomeni Internet of Toys), je zraven potrebno vtakniti še kakšen modni pridevnik. Eden takih je seveda "oblak".

Tehnično je prenos zvočnih posnetkov, ki si jih pošiljajo starši in otroci potekal preko interneta, da pa bi si zadevo poenostavili, so pri Cloud Pets uporabniške podatke, ki vključujejo tudi registrirane e-naslove ter celo osebne podatke otrok, ki jih v aplikacijo vnesejo starši shranjevali kar v MongoDB bazo na internetu. Še več, v bazo so se shranjevali tudi zvočni posnetki (več kot 2 milijona!).

In da ne bi bilo nepotrebnega kompliciranja, je bila baza dostopna na javnem IP naslovu, za dostop do baze preko standardnih vrat 2701 pa ni bila potrebna nikakršna avtentikacija.

Jasno, ni trajalo dolgo, da je zadevo poindeksiral Shodan, a žal se je "zabava" s tem šele začela.

Obstoj baze je najprej konec lanskega leta (oh, seveda, na praznik!) odkril nek varnostni raziskovalec, ki se je odločil za odgovorno razkritje - o bazi je skušal obvestil podjetje, ki igrače izdeluje.

Žal ni šlo, saj se podjetje ni odzivalo na poslano e-pošto. Raziskovalec je podjetje skušal kontaktirati tudi preko njihovega ponudnika dostopa do interneta, a kot kaže, pri podjetju sploh niso brali elektronske pošte. Kasneje se je izkazalo, da je podjetje v približno istem času skušal kontaktirati še nek drug raziskovalec, a ravno tako neuspešno.

Nadaljnje raziskovanje je pokazalo, da je gesla iz baze, ki so bila sicer ustrezno šifrirana z algoritmom za izračun kontrolne vsote bcrypt, mogoče dokaj enostavno razbiti, saj je večina staršev nastavila zelo kratka in enostavna gesla. Še nadaljnje raziskovanje je pokazalo, da sta se na spornem IP naslovu nahajali testna in produkcijska baza, zvočni posnetki v obliki WAV datotek pa so bili brez kakšne posebne avtentikacije dostopni preko spleta - napadalec je moral odkriti zgolj točen URL.


Če ste na tej točki pomislili, da stvari ne morejo biti še slabše, ste se žal zmotili.

7. in 8. januarja letos sta dve skupini napadalcev bazo "zasegli" in za njeno vračilo zahtevali odkupnino. Šele od 13. januarja letos baza ni več javno dostopna. Koliko napadalcev je do baze medtem uspešno dostopalo, ostaja neznanka.

Kot rečeno, se podjetje na poslano e-pošto ni odzivalo, prav tako je od konca junija lani mrtev tudi njihov Twitter račun. Predstavnikov podjetja ni bilo mogoče priklicati niti po telefonu. Podjetje vmes kljub temu razvija nove igrače (npr. "pametni" šparovček v obliki prašička) in jih mirno prodaja dalje, z varnostjo ali obveščanjem strank pa se ne ukvarja nihče.

Ker je podjetje popolnoma neodzivno (v prid mu štejemo lahko vsaj to, da se javno ne laže), se varnostni raziskovalci s njegovimi predstavniki v duhu odgovornega razkritja žal niso mogli uskladiti glede časovnega roka objav ranljivosti. Na srečo je zadeva prišla v javnost in potrošniki imajo sedaj vsaj možnost, da nevarne "pametne" igrače prenehajo uporabljati ter da ne kupujejo novih z verjetno podobnimi ranljivostmi. Če bi varnostni raziskovalci ravnali drugače in zadeve podjetju pomagali pomesti pod preprogo, pa bi se sporne prakse veselo nadaljevale. Vse bi "ostalo v družini", predstavniki podjetja pa bi lahko mirno zatrjevali, da "dokazov, da bi kdor koli že v resnici zlorabil ranljivost ... in iz podatkovnih baz ukradel podatke ..." pač ni.

Za konec pa se lahko še vprašamo ali bi preko takšne igrače neznanci lahko tudi komunicirali z otrokom in mu pošiljali kakšna neprimerna sporočila... Zdaj, ko je javnost obveščena o problemu, je verjetnost, da pride do tega precej manjša. A v prodaji so tudi druge igrače, ki morda vsebujejo podobne ali še hujše ranljivosti.

Več o tehničnih podrobnostih ter celotnem incidentu si lahko preberete na blogu Troya Hunta.

18 komentarjev

Shalabajzer ::

Hja, pri igračah ima potrošnik vsaj izbiro. Je pač naslednjič ne bo kupil od take firme. Pri Ajpesu izbire ni.

vostok_1 ::

Meni že ko rečeš cloud, se skušam izognit v dolgem loku.

Da bi prostovoljno oddajal informacije kar tako vsakemu ki ima 5 minut časa, da vzpostavi en server. Yeah right.
There will be chutes!

dronyx ::

Mal še varnost poštimajo, pa jih bodo Kitajci kupili za par milijard. Če je Talking Tom vreden milijardo, so tile plišasti domači ljubljenčki vsaj nekajkrat več. Moj medo se spomnim da je bil še z žaganjem napolnjen.

Ribič ::

Tele pametne igrače so ena sama štala. Prepričan sem, da bomo v prihodnosti še velikokrat brali v novicah kaj vse je šlo narobe.
Mimo grede, ali se kdo spozna kako je glede teh pametnih igrač na našem trgu? Koliko je že tole razširjeno pri nas?

lp

SeMiNeSanja ::

Samo vseeno ne razumem, kako lahko rečejo, da ni mogoče stopiti v stik z podjetjem.
Če bi to bilo nemogoče, potem tudi nebi bilo možno naročati njihovih izdelkov za prodajo? Torej bi morali biti najmanj prodajni zastopniki dostopni. Ti bodo seveda rekli 'no comment', ampak bi te morali tudi znati preusmeriti naprej na osebo, katera lahko kaj komentira.

Skratka malenkost za lase privlečeno, da jih nikakor ni mogoče kontaktirat. Prej bi rekel, da so ubrali povsem napačno pot.

Seveda pa to ne spremeni dejstva, da je vsa implementacija popolna katastrofa, pa da je nujna takojšna prepoved prodaje tovrstnih izdelkov.

Pravzaprav bi se morala industrija in uporabniki dogovoriti za neke minimalne standarde, po katerih bi morali proizvajalci certificirati tovrstne Cloud izdelke, predenj jih lahko dajo v prodajo.
Taka certifikacija pa bi zajemala tudi razpoložljivost in odzivnost tehnične podpore v primeru razkritja ranljivosti, hkrati pa bi tudi potrdila, da je izdelek že v osnovi tako zasnovan, da do tovrstnih neumnosti, kot v tem primeru ne more priti.

Če moraš zadeve certificirati na elektro ustreznost, čim imajo vtikač, ne vidim razloga, zakaj naj nebi bilo treba certificirati na IP varnost, čim ima izdelek IP povezljivost.

shadeX ::

dronyx je izjavil:

Mal še varnost poštimajo, pa jih bodo Kitajci kupili za par milijard. Če je Talking Tom vreden milijardo, so tile plišasti domači ljubljenčki vsaj nekajkrat več. Moj medo se spomnim da je bil še z žaganjem napolnjen.



No no pretiravat pa res ni potreba. Talking toma pozna vsak odrasel, da o otrocih ne govorim. Skozi leta so si gradili brand in dosegli kar pač so.

Za te "cloud pets", pa sem prvič slišal v tej novici. Verjamem da tudi ostalih 98% slotehovcev.

Dr_M ::

To je pa to, ko folk zivi v oblakih.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

vostok_1 ::

Te opice res nimajo kaj več delat. Nekoč so še pristajale na luno, sedaj pa sam neke virtual pets delajo pa slikarijo zajtrke. Tsk tsk.
There will be chutes!

d4vid ::

vostok_1 je izjavil:

Meni že ko rečeš cloud, se skušam izognit v dolgem loku.

Da bi prostovoljno oddajal informacije kar tako vsakemu ki ima 5 minut časa, da vzpostavi en server. Yeah right.


Jaz veselo furam backup slik na GDrive. Sem si pa postavil owncloud na domacem serverju da lahko hitro izmenjujem datoteke med delovno postajo v sobi in enim starim prenoscom, ki je povezan na 3D tiskalnik.
Laptop:Akoya E4214|Pentium N3540|4 GB RAM|120 GB SSD|Ubuntu Budgie
NAS: Intel Atom D2550|2 GB RAM|3 TB HDD
.: d4vid.info :.

vostok_1 ::

I wish you the best of luck sir.
There will be chutes!

jype ::

d4vid> Jaz veselo furam backup slik na GDrive.

Jaz občutljivih reči sploh ne bi nikoli fotografiral s telefonom, četudi imam izključeno vsako sinhronizacijo s katerokoli on-line storitvijo.

Zmerno zaupam DSLRjem, ki nimajo brezžične povezljivosti, kjer sam nadziram fizično premikanje medija v drugo napravo in na njej branje z njega.

globoko grlo ::

Eno malo off vprašanje. A je gmail kj drugačen od teh oblačkov?
E6850 @ 3.0GHz | Gigabyte P35C-DS3R @ NON-clockable #!$#%/@@
6GB RAM | HD4890 | SSD Corsair F3 120GB
24" viewsonic

jype ::

Na kakšen način drugačen?

Načeloma ne.

vostok_1 ::

globoko grlo je izjavil:

Eno malo off vprašanje. A je gmail kj drugačen od teh oblačkov?


Gmail je bolj varen proti običnim script-kiddies. Tam te posiljujejo profiči, pretežno legalno.
There will be chutes!

shadeX ::

Jype
Jaz občutljivih reči sploh ne bi nikoli fotografiral s telefonom, četudi imam izključeno vsako sinhronizacijo s katerokoli on-line storitvijo.


1. Kaj so občutljive stvari?
2. Ne bit tolk paranoični, saj niste pomembni politiki, zvezdniki ali druge znane osebnosti :)

jype ::

shadeX> 1. Kaj so občutljive stvari?

Zdravstvena dokumentacija, na primer.

shadeX> 2. Ne bit tolk paranoični, saj niste pomembni politiki, zvezdniki ali druge znane osebnosti :)

Who cares? Monetizacija je monetizacija.

SeMiNeSanja ::

Najbl občutljiva stvar pri jajpetu je zračnica na njegovem peciklu :))

myriad ::

Zgodovina sprememb…

  • spremenilo: myriad ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
36941373 (6606) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20128991 (11545) jukoz
»

"Pametne" igrače v neumnih oblakih

Oddelek: Novice / Zasebnost
183035 (1845) myriad
»

Pametne otroške igrače so lahko veliko tveganje (strani: 1 2 )

Oddelek: Novice / Ostale najave
507042 (3609) OK.d
»

Vdor v Snapchat zaradi malomarnosti odtujil 4,6 milijona telefonskih številk

Oddelek: Novice / Varnost
157278 (5543) Jupito

Več podobnih tem