«Любое умное устройство в вашей сети — это небольшой компьютер»: Сергей Полунин об уязвимости в роботах-пылесосах Shark

Как сообщают в GBHackers, миллионы роботов-пылесосов Shark, имеющих подключение к интернету, уязвимы для критической ошибки удалённого выполнения кода (RCE). Она позволяет злоумышленникам дистанционно управлять устройствами, получать доступ к камерам, картам помещений и красть Wi-Fi-пароли.
Независимый исследователь обнаружил, что причина в излишне широких политиках AWS IoT Core MQTT и встроенной функции выполнения команд в прошивке.
Уязвимости подвержены модели Shark RV2320EDUS и AV1102ARUS, но, скорее всего, она затрагивает все подключенные к интернету пылесосы Shark с конфигурацией provisioning. По словам исследователя, один сертификат открывает доступ к телеметрии и командам множества устройств.
Зная серийный номер цели, злоумышленник может публиковать сообщения в её Shadow-тему. Наиболее опасна функция Exec_Command: демон appd выполняет команды из MQTT-сообщений через shell с высокими привилегиями. Исследователь успешно использовал учётные данные от одного пылесоса для выполнения кода на другом, купленном отдельно. Взломанное устройство с камерой позволяет шпионить и управлять моторами, а в прошивке также найдены карты помещений и Wi-Fi-пароли в открытом виде, что даёт доступ к домашней сети.
SharkNinja были уведомлены об этом, и компания подтвердила получение, но не дала сроков исправления.
Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», отмечает: умные устройства в наших домах давно стали обыденностью.
«Никто не впадает в состояние транса при виде посудомоечной машины или услышав фразу «пока меня не было дома, пылесос занялся уборкой». Однако, подключая такие устройства к домашней сети, мы не задумываемся о том, что фактически приносим в свой дом троянского коня. Любое умное устройство в вашей сети — это небольшой компьютер со всеми сопутствующими свойствами — операционная система, программного обеспечение и, конечно же, потенциальные уязвимости. И если процесс обновления и закрытия уязвимостей на привычных устройствах вроде смартфона и ноутбука налажен и протекает зачастую без нашего участия, то с умными устройствами всё не так просто», — подчеркнул эксперт компании «Газинформсервис».
При этом, по словам Сергея Полунина, пользователю тяжело самостоятельно защититься от уязвимостей: «С точки зрения пользователя устройства ситуация сложная: мы не можем самостоятельно вносить изменения в программный код, да и вряд ли у обывателя есть компетенции сделать это».
В то же время с точки зрения разработчика поле деятельности весьма широкое. Киберэксперт Сергей Полунин отмечает несколько решений: «Во-первых, разработчик может организовать процесс разработки таким образом, чтобы появление подобных критических уязвимостей стало крайне маловероятным. Во-вторых, он может в автоматическом режиме тестировать собственные программные продукты и даже инфраструктуру с помощью решений вроде BAS SimuStrike. Ну и в-третьих, чтобы предотвратить атаки на самого производителя, можно подключить ИТ-инфраструктуру к SOC и сфокусироваться именно на разработке устройств и программ, поручив защиту периметра профильным специалистам».



