Mentionsy

Gdy nagrywam ten materiał w Las Vegas, kończył się już Black Hat, końca dobiega też nieubłaganie DEFCON.

Największe na świecie konferencje dotyczące szeroko pojętego cyberbezpieczeństwa.

Czas więc podzielić się z Wami najciekawszymi prezentacjami, w których wziąłem udział, choć uczciwie przyznać muszę, że w tym roku zobaczyłem niewiele, bo szykowałem się na moje wystąpienie na DEFCONie, co marzyło mi się od lat, więc nie mam na co narzekać.

Bo na Black Hacie naukowcy z Uniwersytetu w Padwie oraz z francuskiego Eurocomu pokazali, w jaki sposób zaatakować...

I to z bardzo poważnymi dla nich konsekwencjami, bo mogą one nawet spłonąć, na co zresztą zasługują.

A to realne niebezpieczeństwo dla ich właścicieli i nie tylko, które w dodatku ich producent całkowicie zbagatelizował.

A tak ten oczywiście nie dotyczy wszelkich hulajnóg świata.

Badacze skupili się na dwóch popularnych produktach lidera tego rynku, firmy Xiaomi M365 oraz Mi 3.

Hulajnogi te, jak zresztą większość, łączą się z aplikacją na telefonie.

W tym przypadku za pomocą Bluetooth Low Energy, BLE oraz własnościowego protokołu firmy.

A to oznacza, że najczęściej nie tylko nie ma do takiego protokołu żadnej dokumentacji, ale też firmy stosujące tego typu rozwiązania często wychodzą z założenia, że właśnie to sprawia, że jest bezpiecznie.

Co jest błędnym założeniem, ale o tym za chwilę.

Oczywiście poza Bluetoothem hulajnoga w kwestii elektroniki składa się jeszcze z paru innych podzespołów.

Przede wszystkim z silnika elektrycznego oraz baterii wraz z odpowiednimi sterownikami.

Do obu z nich, sterowników w sensie, istnieje pośredni dostęp właśnie przez kontroler Bluetooth.

Choćby po to, aby w ten sposób instalować aktualizację wewnętrznego oprogramowania hulajnogi.

Badacze zaczęli od ustalenia, że oprogramowanie wewnętrzne kontrolera Bluetooth w hulajnogach nie jest w żaden sposób zaszyfrowane.

Ano to, że sprytny atakujący może sobie je po prostu w banalny sposób zgrać, tak z hulajnogi, jak i wprost z aplikacji na telefon.

Następnie czytać w nim jak w otwartej księdze i dokładnie przejrzeć w poszukiwaniu jakichś luk do wykorzystania.

Nie trzeba do tego żadnej specjalistycznej ani magicznej wiedzy.

Widać jak na tacy, co to oprogramowanie robi i jakie ma zabezpieczenia.

Jakby tego było mało, to poza brakiem szyfrowania oprogramowanie nie jest też podpisane.

A no, można je nie tylko przejrzeć, można je też zmodyfikować, a następnie bez większych przeszkód wgrać na hulajnogę, a ta nie będzie miała nic przeciwko i łyknie to jak pelikan.

W tym miejscu robi się już naprawdę niebezpiecznie, ale to nadal nie wszystko.

Wewnętrzna komunikacja pomiędzy podzespołami hulajnogi również nie jest w żaden sposób szyfrowana ani sprawdzana.

Można się więc potrzyć pod dowolny komponent i mówić innym, co mają robić.

W efekcie, instalując na hulajnodze swoje własne zmodyfikowane oprogramowanie, możemy przesłać choćby do sterownika baterii jakieś polecenia do wykonania.

Na przykład ładuj się do oporu, nawet powyżej limitu naładowania.

Innymi słowy, architektura systemu w tych hulajnogach jest dość łatwowierna, bo pozwala tak na instalację czegokolwiek, jak i będzie słuchała grzecznie każdego wydanego polecenia.

Co gorsza, to nie pierwszy atak na te hulajnogi odkryty przez badaczy.

Znaleźli oni sposoby na komunikowanie się z nimi, obchodząc cały proces uwierzytelniania.

Mogli na przykład zdalnie je blokować.

Łącząc te wcześniej odnalezione luki z obecnymi odkryciami, okazuje się, że możliwe jest wywołanie naprawdę całkiem sporego zamieszania.

Ano pozwala to bez jakiegokolwiek sparowania czy też uwierzytelniania przesłać do dowolnej kompatybilnej hulajnogi zmodyfikowane przez atakujących wewnętrzne oprogramowanie systemowe.

Innymi słowy, wystarczy być w zasięgu Bluetooth Twojej podatnej hulajnogi, by przejąć nad nią kompletną kontrolę.

Tylko co to tak właściwie znaczy?

Czy to nie burza w szklance wody?

No tak, nie do końca, bo badacze pokazali kilka realnych scenariuszy, w jaki sposób można połączenie tych luk wykorzystać w realnym świecie.

Jeden z ataków umożliwia śledzenie użytkownika hulajnogi, wyciągając z jej wewnętrznego oprogramowania unikalny identyfikator,

co może mieć poważne konsekwencje dla prywatności jej właściciela.

Inny atak pozwala wyciągnąć hasło, którym hulajnoga jest zabezpieczona przed nieuprawnionym dostępem, co znacznie ułatwia jej kradzież.

Brzmi dość poważnie, ale to jeszcze nic, bo kolejne dwa opisane scenariusze związane są z zarządzaniem napięciem baterii.

Przesyłając do jej sterownika odpowiednie komendy, można obejść wbudowane zabezpieczenia i zmusić ją do zwiększenia napięcia powyżej maksymalnego lub odwrotnie, zmniejszenia go poniżej akceptowalnego minimum.

W pierwszym przypadku prowadzić to może do uszkodzenia ogniw, a w efekcie nawet pożaru.

I nie powiem, wizja setek płonących hulajnóg całkiem nieźle rozpala moją wyobraźnię, ale w sumie znacznie ciekawiej robi się, jeżeli sprowadzimy napięcie w dół.

Owszem, również da się w ten sposób uszkodzić baterie, ale można tak też osiągnąć efekty jak przy infekcji oprogramowaniem ransomware.

Badacze wpadli na szatański plan, w którym sprowadzając napięcie poniżej pewnej wartości uniemożliwili ponowne naładowanie baterii i oczywiście jedynie w teorii, by pokazać ewentualne skutki tego ataku, uzależnili przywrócenie tej funkcjonalności od zapłacenia okupu.

Bo jak nie, to w sumie z czasem napięcie spadnie jeszcze niżej i bateria ulegnie dalszej degradacji.

Ransomware na hulajnogi?

To chyba pierwszy taki przypadek w historii.

Ale to jeszcze nie wszystko, bo badacze opublikowali gotowe narzędzia do przeprowadzenia ataków tej kategorii wraz z apką pozwalającą na zbieranie okupów.

Jakiś domorosły cyberprzestępca dostał w sumie właśnie do rąk maszynkę do robienia pieniędzy.

No i pewnie zastanawiacie się, dlaczego badacze postąpili w ten sposób.

A no dlatego, że podatności te, wraz zresztą z sposobami na ich remediację, zgłosili do Xiaomi kilkukrotnie.

A firma, no firma miała ich w nosie.

Twierdząc początkowo, że nie są w stanie odkryć badaczy, odtworzyć w swoim środowisku.

Dopiero dwa miesiące przed Black Hatem zmienili o dziwo nagle zdanie i przyznali numery CVE, potwierdzili średni poziom zagrożenia oraz wypłacili nagrodę z programu Bug Bounty.

Nie ma przypadków, ale są znaki.

Jak powiedzieli mi badacze, z którymi rozmawiałem po wystąpieniu.

Bo w końcu Xiaomi pochyliło się nad problemem po czterech latach od pierwszego zgłoszenia i dziwnym trafem zbiegło się to w czasie z ogłoszeniem wystąpienia na konferencji.

Prowadzono nawet zmiany w oprogramowaniu hulajnóg.

ale tylko nowszych modeli.

Te, na których przeprowadzano testy, dobiegły już do końca okresu wsparcia i podatności nie zostaną załatane.

A to moim zdaniem naprawdę bardzo słabe podejście.

Xiaomi mówi Ci w sumie wprost.

Ciekawe, jak na całą tą sytuację zareagują firmy, które wypożyczają tego typu sprzęty na całym świecie na minuty.

Bo ktoś złośliwy mógłby potencjalnie po prostu przemierzać miasto z odpowiednio przygotowanym oprogramowaniem i nadajnikiem Bluetooth, infekując wszystkie napotkane po drodze hulajnogi.

Tak, by w odpowiednim momencie albo przestały działać, albo zapłonęły żywym ogniem.

Cóż, mam dla Ciebie kilka wiadomości i wszystkie są złe.

Xiaomi nie jest zainteresowane załataniem jej dziur.

Owszem, możesz zrobić to sam, jak prawdziwy linuksiarz, modyfikując na własną rękę wewnętrzne oprogramowanie swojego sprzętu.

Ale jeśli tego nie umiesz, to jedynym rozwiązaniem, które zabezpieczy Cię przed atakiem tej kategorii, jest zakup nowszej hulajnogi.

Co ciekawe, to nie pierwszy raz, kiedy wspomniani badacze występują na moim kanale, ponieważ pokazali oni też parę lat temu atak na Bluetooth o nazwie Bluffs, który wykazał, że w sumie Bluetooth w swoich założeniach nie jest zbyt bezpieczny.

Więc tak też go traktuj, jeżeli korzystasz z bezprzewodowych urządzeń w tej technologii.

A jak jeszcze nie widziałeś wspomnianego materiału, to zachęcam do jego nadrobienia.

Jeżeli sądzisz, że nie publikując dokumentacji przed czymś się zabezpieczasz, jesteś w błędzie.

Podejście z kategorii Security by Obscurity, gdzie bezpieczeństwo uzależnia się od utrzymywania czegoś w sekrecie, po prostu nie działa.

Przykładów na to jest cała masa i każdego dnia dostajemy kolejne.

Dlatego projektując jakieś rozwiązania, zawsze skup się na tym, aby bezpieczeństwo gwarantowała sama architektura systemu i zastosowane rozwiązania, a nie liczenie na to, że nikt nie zajrzy do środka.

Nie wierzę, że ta informacja szeroko dostanie się do mediów, ale mam cichą nadzieję, że Ty i być może Twoi znajomi, którym podeślesz ten film, zastanowią się przy ewentualnym zakupie nad wyborem hulajnogi.

i wezmą pod uwagę producenta, który nieco bardziej szanuje tak badaczy, jak i swoich klientów.

Interesują Cię takie tematy i sam masz ochotę zacząć hakować?

Na uczmnie.pl stworzyłem e-booka dla początkujących, gdzie opisuję krok po kroku, od czego zacząć tę przygodę.

I to już wszystko na dziś.

Tymczasem pozdrawiam serdecznie z upalnego Las Vegas, dziękuję za Waszą uwagę i do zobaczenia!