¿Qué hay en la caja? Parte II: Hackear el iParcelBox


La entrega de paquetes es solo una de esas cosas que damos por sentado en estos días. Esto es especialmente cierto en la era del Coronavirus, donde el comercio electrónico y las entregas a domicilio constituyen una parte creciente de los hábitos de compra de los consumidores.

En 2019, McAfee Innovative Danger Investigate (ATR) realizó un proyecto de investigación de vulnerabilidades en un producto seguro de entrega de paquetes para el hogar, conocido como BoxLock. El blog correspondiente se puede encontrar aquí y destaca una vulnerabilidad que encontramos en la configuración de Bluetooth de baja energía (BLE) utilizada por el dispositivo. En última instancia, la falla nos permitió desbloquear cualquier BoxLock en el rango de Bluetooth con una aplicación estándar de la tienda Apple o Google.

Poco después de que lanzamos este website, una compañía de productos identical con sede en el Reino Unido contactó al investigador principal (Sam Quinn) aquí en McAfee ATR, solicitando que el equipo realice un análisis de investigación de su producto, llamado iParcelBox. Este dispositivo se compone de un contenedor de acero seguro con un botón en el exterior, lo que permite a los mensajeros del paquete solicitar acceso al contenedor de entrega con solo presionar un botón, notificando al propietario a través de la aplicación y permitiendo funciones remotas de apertura / cierre.

iParcelBox: entrega segura de paquetes y aplicación iParcelBox

El investigador pudo dar un giro único a este proyecto al realizar OSINT (Open up Source Intelligence), que es la práctica de utilizar información disponible públicamente, a menudo publicitada involuntariamente, para comprometer un dispositivo, sistema o usuario. En este caso, el desarrollador principal del producto no estaba practicando la higiene segura de los datos para sus publicaciones en línea, lo que permitió al investigador descubrir información que acortó drásticamente lo que habría sido un proyecto mucho más complicado. Descubrió las credenciales administrativas y el diseño interno y las configuraciones correspondientes, proporcionando efectivamente al equipo acceso a todos y cada uno de los dispositivos iParcelBox en todo el mundo, incluida la capacidad de desbloquear cualquier dispositivo a su antojo. Todos los casos de prueba se ejecutaron en dispositivos de laboratorio propiedad del equipo o aprobados por iParcelBox. Se pueden encontrar más detalles de todo el proceso de investigación en la versión técnica completa del blog de investigación aquí.

Los componentes internos reales del sistema estaban bien diseñados desde una perspectiva de seguridad, utilizando conceptos como SSL para el cifrado, desactivando la depuración de hardware y realizando comprobaciones de autenticación adecuadas. Desafortunadamente, este nivel de diseño y seguridad se vio socavado por el straightforward hecho de que las credenciales no estaban protegidas adecuadamente en línea. Armado con estas credenciales, el investigador pudo extraer certificados sensibles, claves, contraseñas de dispositivos y contraseñas WIFI de cualquier iParcelBox.

En segundo lugar, cuando el investigador preparó el informe sobre las técnicas OSINT utilizadas para esto, hizo un descubrimiento adicional. Al analizar la configuración utilizada por la aplicación de Android para interactuar con el marco IOT basado en la nube (AWS-IOT), descubrió que incluso sin una contraseña administrativa, podría perder credenciales temporales de texto sin formato para consultar la foundation de datos de AWS. Estas credenciales tenían una configuración incorrecta de permisos que permitía al investigador consultar toda la información sobre cualquier dispositivo iParcelBox y convertirse en el propietario principal.

En ambos casos, para atacar un dispositivo, un atacante necesitaría saber la dirección MAC del iParcelBox de la víctima sin embargo, las direcciones MAC de iParcelBox parecían generarse de forma no aleatoria y eran fáciles de adivinar.

Un esfuerzo de investigación típico para McAfee ATR implica análisis de hardware complejo, ingeniería inversa, desarrollo de exploits y mucho más. Si bien el desarrollador cometió algunos errores de alto nivel con respecto a la configuración y la higiene de los datos, queremos tomarnos un momento para reconocer el nivel de esfuerzo puesto en la seguridad física y digital. iParcelBox implementó numerosos conceptos de seguridad que son poco comunes para los dispositivos IOT y elevan significativamente el nivel para los atacantes. Es mucho más fácil solucionar problemas como contraseñas filtradas o problemas de configuración básicos que reconstruir components o reprogramar program para garantizar la seguridad después del hecho. Esta puede ser la razón por la cual la compañía pudo solucionar ambos problemas casi inmediatamente después de que les informamos en marzo de 2020. Estamos encantados de ver que cada vez más compañías de todos los tamaños abrazan a la comunidad de investigación de seguridad y colaboran rápidamente para mejorar sus productos, incluso desde el comienzo del ciclo de desarrollo.

¿Qué se puede hacer?

Para consumidores:

Incluso los desarrolladores están sujetos a los mismos problemas que todos tenemos elegir contraseñas seguras y complejas, proteger credenciales importantes, practicar higiene de seguridad y elegir configuraciones seguras al implementar controles para un dispositivo. Como siempre, lo alentamos a evaluar el enfoque de seguridad del proveedor. ¿Adoptan y fomentan la investigación de vulnerabilidad en sus productos? ¿Qué tan rápido son para implementar correcciones y se hacen correctamente? Casi todos los productos en el mercado tendrán fallas de seguridad si nos fijamos lo suficiente, pero la forma en que se manejan es posiblemente más importante que las fallas mismas.

Para desarrolladores y vendedores:

Este estudio de caso debería proporcionar un valioso testimonio del poder de la comunidad. No tenga miedo de involucrar a investigadores de seguridad y aceptar el descubrimiento de vulnerabilidades. ¡Cuanto más crítico sea el hallazgo, mejor! Trabaje con investigadores o compañías de investigación que practiquen la divulgación responsable, como McAfee ATR. Además, puede ser fácil pasar por alto las cosas simples, como la fuga involuntaria de datos críticos encontrados durante este proyecto. Una lista de verificación de seguridad debe incluir pasos complejos y simples para garantizar que el producto mantenga los controles de seguridad adecuados y que los datos esenciales estén protegidos y auditados periódicamente.





Enlace a la noticia primary