Súlyos biztonsági hibák az Osram okos villanykörtéiben

Súlyos biztonsági sebezhetőségeket talált az Osram Sylvania Lightify és Lightify Pro okoségő-családjában a Rapid7. A neves IT-biztonsági csapat négy különböző hibát térképezett fel a sima Lightify és ötöt a vállalati környezetbe szánt Lightify Pro termékvonalban.

A 2015-ben bejelentett okoségők és a hozzájuk tartozó szoftverplatform (központi vezérlőegység és mobilapp) alapos vizsgálata több komoly problémát is feltárt. Az egyik kevésbé súlyos hiányosság, hogy az iOS-es mobilapp a vezérléshez használt Wi-Fi hálózat jelszavát (PSK-t) sima szövegként tárolja az eszközön, ez pedig kiolvasható, ennek birtokában pedig csatlakozni lehet az adott hálózathoz. Súlyosabb probléma az SSL certificate pinning hiánya, vagyis közbeékelődő támadó el tudja hitetni a mobilappal, hogy ő az okoségő, az égővel, pedig azt, hogy ő a mobilapp, így meg tudja figyelni és módosítani tudja a kettő között folyó forgalmat.

A központi vezérlőállomáson futó hálózati szolgáltatások vizsgálata nyomán jutott arra a Rapid7, hogy amikor nem érhető el internetes kapcsolat, akkor a helyi vezérlésre a rendszer a 4000-es TCP portot használja, minden hitelesítés nélkül. Az ide küldött parancsokat a rendszer kérdés nélkül végrehajtja, legyen az az égők le-fel kapcsolása vagy a vezérlőegység újrakonfigurálása.

Elementáris hiba azonban, hogy az Osram valamiért nem implementálta a Zigbee szabvány ugrókódos részét, vagyis nem cseréli rendszeresen a kommunikációhoz használt kulcsot. Ez azt jelenti, hogy a parancsok lehallgatásával és újrajátszásával is támadható a rendszer - minden egyéb, fejlettebb támadási forma bevetése nélkül. Ez azt jelenti, hogy ha a vezeték nélküli hálózathoz nyitott a hozzáférés, gyakorlatilag bárki vezérelheti a világítást - pont úgy, mintha a tévéket kezdené kapcsolgatni univerzális távirányítóval.

A Lightify Pro webes konzolja is triviálisan támadható (ilyenje nincs a nem-Pro verziónak), különböző XSS-módszerekkel, köszönhetően annak, hogy a szoftver nem szűri (szanitálja) a külső stringeket. Így parancs szúrható be például a rendszerlogba (a beléptető dialógusból) vagy támadó SSID neveként is tud tartalmat injektálni a webes felületre, ami például külső tartalom futtatására veheti rá a böngészőt.

Az már csak hab a tortán, hogy az eszközök alapértelmezett Wi-Fi-jelszava csak nyolc karakteres és alfanumerikus (speciális karaktereket nem használ), így a WPA2 PSK mindössze néhány óra alatt törhető.

Nem a konkrét sebezhetőség a probléma

A viszonylag felületes elemzés tehát több olyan szoftveres hibára is rávilágít, amelyek IT-biztonsági körökben tényleg eleminek és triviálisnak számítanak. Ez azért különösen ijesztő, mert rámutat, hogy az Osram (vagy az általa megbízott külsős szoftverfejlesztő) a biztonságos programozás alapvető irányelveit sem tartja be a termék fejlesztésekor. Felmerül a kérdés, hogy egy mélyebb elemzés, amely az égőkön és a központi vezérlőn futó szoftvert alaposabban vizsgálja, milyen további hibákat tárhat fel.

A problémával nem csak az Osram küzd, ugyanilyen nevetséges sebezhetőségekkel van tele a Nissan, a Chrysler, a Mitsubishi vagy épp a BMW által fejlesztett szoftver is. Ez pedig különösen aggasztó abban a korban, amikor a digitalizációs hullámnak köszönhetően olyan cégektől várnak hirtelen a vásárlók fejlett informatikai kompetenciát, amelyektől ez a terület egész egyszerűen idegen, és mondjuk egy weboldal vagy ERP rendszer üzemeltetésénél sosem volt komplexebb feladata, saját szoftver fejlesztésével pedig egyáltalán nem szerzett tapasztalatot.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A cégek ráadásul arra sincsenek felkészülve, hogy a felszoftverezett termékek támogatása egészen más kötelezettségekkel jár, mint a régebbi, "buta" eszközöké. A rendszeresen frissített szoftver ma már kötelező elem egy olyan eszköz esetében, amely kilát az internetre és támadási felületet biztosít - ennek ellenére a Lightify-hoz biztosított újabb firmware-ekre a weben semmi nem utal, nincs fenn például a legfrissebb kiadás verziószáma és a változások listája sem, az update-ek pedig kizárólag a mobilappon keresztül szerezhetőek be.

Telepíteni ki fogja?

A problémát jól illusztrálja például annak a felhasználónak az esete, aki a Lightify égőket nem az alapértelmezett bázisállomással, hanem a Samsung-féle nyílt SmartThings platfommal használja. A Zigbee szabványnak és az átjárható protokolloknak megfelelően erre van lehetőség - a SmartThings azonban nem képes az eszközök firmware-ének frissítésére. Ez azt jelenti, hogy az égőket a Lightify Gateway bázisállomáshoz kell kötni, amely el tudja végezni a frissítést, majd újra felkonfigurálni a SmartThings állomáshoz. Ez még két-három égő esetén is nehéz feladat, tucatnyi vagy több égő esetében egészen abszurd - amit nem csak az egyszerű felhasználók fognak elbliccelni, hanem a haladók is.

A kérdés még fontosabb vállalati felhasználók esetében - nem világos ugyanis, hogy pontosan ki is a felelős mondjuk egy irodai hálózatra kapcsolt okoségő-rendszer üzemeltetéséért. Ez pedig nem elrugaszkodott gondolat, a Lightify Pro rendszer pontosan ilyen környezetbe készült, céges felhasználók számára. Ilyenkor opció lehet egy dedikált Wi-Fi hálózat, ami azonban újabb nehezen áthidalható problémákat vet fel.