外箱思考
McAfee与UK Company Iparcelbox合作,发现了其智能交付盒中严重的安全缺陷,因为开发人员无意中的数据泄漏才能发现它。
Iparcelbox是一个与Internet连接的钢制盒,快递员或邻居可以在无需进入用户房屋的情况下安全地交付物品。
如上面的视频中所示,包装快递员按了设备上的按钮,该按钮在所有者的移动设备上发送了“打开”请求,他们可以接受或拒绝。
Iparcelbox单元仅具有三个外部向量:远程云API,WiFi和一个物理按钮。
来自McAfee的安全研究人员能够通过利用来妥协系统开源智能(OSINT)或公开可用的信息,而不是在此处查找和滥用软件漏洞物联网设备本身。
McAfee高级威胁研究团队的安全研究员Sam Quinn在博客文章:“这个项目从经典的硬件/物联网设备研究项目转变为OSINT研究主题。
“这确实表明,即使使用在线数据卫生的简单错误也可以将关键细节暴露于攻击者,从而使他们能够缩小攻击矢量或公开敏感信息(例如凭据)”
特殊交付
在寻找设备固件的信息时,McAfee团队发现了一个大型日志文件,其中包含看起来像Iparcelbox的启动过程。
事实证明,该产品的主要开发人员无意间将产品带来在线发布的风险。信息包括管理凭据以及github令牌。
未经发现的数据导致了对内部设计配置的访问,从而为MCAFEE团队提供了对全球任何IPARCELBOX设备的访问,包括未经许可就可以解锁任何设备的能力。
研究人员还发现,Iparcelbox开发人员在其产品中实施了许多安全概念,这对于物联网设备而言并不常见。
这组织能够通过更改每个Iparcelbox的管理员密码来解决MCAFEE发现的问题,并要求Mongoose-OS的开发人员实施更改,以便一款设备的AWS证书和私钥无法控制任何其他设备。
供应商还修复了研究期间发现的一组较小的安全缺陷,包括Android应用程序未能正确固定证书,以及删除对DynamoDB的直接呼叫。
总部位于英国的Iparcelbox在看到安全公司先前发布了有关Boxlock的研究(类似技术)后,积极与McAfee联系。
Iparcelbox要求对其产品进行研究分析,以发现产品安全问题并最终保护消费者。
