أسبوع الأمان 52: أمان مكبرات الصوت الذكية وكاميرات IP

في شهر أكتوبر ، أظهر باحثون من SRLabs كيف يمكنك تغيير سلوك المتحدثين الأذكياء Amazon Echo و Google Home للتنصت على المحادثات أو حتى كلمات مرور الخداع ( الأخبار ، البحوث ). بالنسبة إلى الأخير ، هناك حتى مصطلح خاص - الخداع ، ويعرف أيضًا باسم الخداع الصوتي ، وهو التصيد الاحتيالي ، حيث يشارك الضحية أسراره مع صوته.


للهجوم ، تم استخدام الوظائف العادية للأعمدة ، أي القدرة على تثبيت التطبيقات المصغرة (المعروفة باسم المهارات أو الإجراءات). يمكن تعديل تطبيق افتراضي يقرأ برجك جديد بصوت عالٍ بصوت إنساني بعد تدقيق أمني. باستخدام أحرف خاصة وخداع رسائل تقنية ، يمكنك التظاهر بأن التطبيق قد توقف عن العمل ، على الرغم من أنه في الواقع ، يتم تسجيل جميع المحادثات والأوامر وفك تشفيرها وإرسالها إلى خادم المهاجم لبعض الوقت.

بعد شهرين ، أفاد الباحثون أن المشاكل لم تكن ثابتة. أثناء الدراسة ، تم تحميل التطبيقات "الضارة" إلى "متجر التطبيقات" الخاص بالسماعات الذكية. تم نقل النتائج إلى أمازون وجوجل ، وبعد ذلك تم حذف التطبيقات ، لكن تم تنزيلها بسهولة مرة أخرى وتمكنت SRLabs من اجتياز الاختبار. يشبه الموقف مشكلة التطبيقات الخبيثة للهواتف الذكية العادية في متجر Google Play ومتجر Apple App: التكتيكات هي نفسها ، فقط أساليب الهندسة الاجتماعية مختلفة قليلاً. في أي حال ، يعد هذا مثالًا مثيرًا للاهتمام على تطور الهجمات ، مع مراعاة ظهور الأجهزة التي تتنصت باستمرار وتتجسس على المالكين.


الهجوم ، باستخدام Amazon Echo كمثال ، يستمر على النحو التالي. يتم إنشاء تطبيق شرعي يجتاز تدقيق الشركة المصنعة. بعد ذلك ، تتغير وظائف التطبيق ، لكن Amazon لا تعتبر هذا سببًا لإعادة الاختبار. يتم استبدال رسالة الترحيب: عند بدء التشغيل ، يخبر التطبيق المستخدم بحدوث خطأ ، على سبيل المثال: "هذه المهارة غير متوفرة في بلدك." من المؤكد أن الضحية قد انتهى من العمل ، ولكن في الواقع يحاول التطبيق إجبار العمود على نطق عبارة تتكون من أحرف خاصة (بشكل أكثر تحديدًا ، من سلسلة من أحرف U + D801 تم نسخها عدة مرات). عمود "يلفظ" الصمت ، وبعد ذلك يتم تشغيل رسالة تصيد فعليًا: "يتوفر تحديث للنظام ، يرجى إخبار كلمة المرور الخاصة بك."

يستخدم المتغير الثاني للهجوم أيضًا أحرفًا خاصة ، يحاول العمود "نطقها" ، ولكن بدلاً من التصيد الاحتيالي ، يتم التنصت. في حالة Google Home ، يكون السيناريو هو نفسه ، فقط هناك قيود أقل على مدة التنصت.

من الواضح ، هناك مشكلتان. أولاً ، التغيير الكبير في الوظائف لا يتطلب التحقق ، وبشكل عام ، التحقق من "مهارات" الطرف الثالث ليس صارمًا. ثانياً ، يحاول العمود إنتاج أحرف غير قابلة للقراءة ، على الرغم من أنه في حالة مثالية ، يجب حظر هذه الوظيفة.

يتكرر الموقف مع النظام الإيكولوجي لتطبيقات الهواتف الذكية: في بداية تطوير النظام الأساسي ، يتم منح المطورين حرية كاملة للعمل ، يتم التحكم في وظائف التطبيق إلى الحد الأدنى ، ويكون للمهاجمين اهتمام ضئيل بالهجمات على مستخدمي الجهاز. بمرور الوقت ، يزداد عدد الهجمات ، وتصبح آليات الأمان أكثر تقدمًا ، ويتم تشديد متطلبات المطورين.

تمت مناقشة موضوع ذي صلة مؤخرًا على نطاق واسع في وسائل الإعلام: كان هناك حالتان من الوصول غير المصرح به إلى كاميرا Amazon Ring IP ، والتي يتم شراؤها كقاعدة عامة لأغراض أمنية فقط. كلتا الحالتين كانت على الأرجح بسبب حساب مستخدم تم اختراقه (كلمة مرور غير موثوق بها أو مسربة ، عدم وجود مصادقة ثنائية). لا توجد طرق معقدة للهندسة الاجتماعية: لم يأت مفرقعو woe بشيء أفضل من محاولة التحدث إلى الضحية من خلال السماعة المدمجة في الجهاز. يبدو أنه إذا حدث غزو لخصوصية المستخدمين ، فيجب أن تكون الإجراءات الأمنية أكثر حدة. لكن دراسة مثال على SRLabs (وردود الفعل عليها) توضح أن هذا ليس صحيحًا تمامًا.

ماذا حدث:
نقاط الضعف الحرجة في منتجات جهاز التحكم في تسليم تطبيق Citrix (المعروف سابقًا باسم NetScaler ADC) و Citrix Gateway (بوابة NetScaler). لا توجد تفاصيل حتى الآن ، تسمح الثغرة الأمنية بالوصول عن بعد إلى الشبكة المحلية دون إذن.

تحليل مفصل للاحتيال بسيط إلى حد ما مع "الاشتراكات في الإخطارات" في المتصفح. هناك نقطة واحدة غير تافهة: للترويج للمواقع الضارة ، تستخدم Google البحث عن الصور. مخطط العمل على النحو التالي: يتم وضع صور للاستعلامات الشائعة في موقع واحد ، والدخول في نتائج البحث ، ومن هناك يتم إعادة توجيه المستخدم إلى مجال آخر ، ويوافق على الإشعارات وينسيها. بعد فترة من الوقت ، يبدأ البريد العشوائي في صب إشعار المتصفح.

مشكلة عدم حصانة مثيرة للاهتمام بسبب التصادمات عند معالجة بعض الأحرف الخاصة في Unicode. على جيثب ، سمحت باعتراض رسالة مع رابط لإعادة تعيين كلمة المرور. نحن نأخذ المستخدم مع العنوان البريدي mike@example.org ، وقم بتسجيل صندوق البريد mıke@example.org (يرجى الانتباه إلى i بدون نقطة). في نموذج "نسيت كلمة المرور" ، أدخل هذا البريد الإلكتروني بحرف خاص. يحدد النظام مايك المستخدم ، لكنه يرسل رسالة إلى صندوق بريد المهاجم. حلها عن طريق مقارنة العنوانين.

قصة الاكتشاف العشوائي لواجهة الويب للأكشاك في مكاتب Microsoft في المجال العام. يتم استخدام هذه الأجهزة في الردهة لجدولة المواعيد وطباعة شارات وأكثر من ذلك ، وفي الحالة العادية لا ينبغي الوصول إليها عن بُعد. أنتج بحثًا ماكرًا على موقع Microsoft عنوان URL المرغوب ، والذي تم من خلاله طلب اجتماع مع المدير العام للشركة. حسنا ، والوصول إلى البيانات الداخلية ، مما يمثل مشكلة معينة.

ليس خطأ ، ولكن ميزة. يعمل API لخدمة سيارات الأجرة من Citimobil دون ترخيص (ولا يوجد حد للطلب) ويسمح لك بتنزيل البيانات على موقع كل السيارات وسيارة واحدة. الأول هو مخاطر العمل بالنسبة للخدمة نفسها ، حيث يمكن للمنافسين استخدام واجهة برمجة التطبيقات للاستخبارات. الثاني - من الناحية النظرية ، يسمح لك بتحديد كل من سائق التاكسي والراكب ، إذا كانت إحداثيات المغادرة معروفة.

خطأ آخر في برنامج Whatsapp messenger: يمكنك إسقاط البرنامج لجميع المشاركين في الدردشة عن طريق إرسال رسالة تحتوي على بيانات تعريف معدلة. يتم حلها عن طريق إعادة تثبيت برنامج Messenger والخروج من الدردشة "المتأثرة".