Tiếp tục các chủ đề nghiên cứu liên quan đến thiết bị thông minh, mục tiêu lần này của nhóm IOT là sản phẩm của hãng Akuvox được triển khai với quy mô rộng trong các thành phố thông minh, tòa nhà thông minh. Quá trình đánh giá chúng tôi đã phát hiện nhiều lỗ hổng nghiêm trọng  như command injection, android credential login Hardcode, certificated default webbase configure, Unauthenticate RTSP Camera. Các lỗ hổng này hoàn toàn có thể giúp attacker chiếm quyền các thiết bị, thực hiện các hành vi trái phép. Các lỗ hổng trong blog đã được report cho hãng Akuvox và đã có bản vá cho các lỗ hổng.

Về Akuvox

Thiết bị của hãng Akuvox được triển khai trong các căn hộ, toà nhà, thành phố thông minh. Akuvox có giải pháp toàn diện cho một thành phố thông minh, hiện đang được triển khai tại nhiều nơi. Giải pháp của Akuvox gồm 2 thành phần chính:

• Giải pháp cho tòa nhà (Building entrance R29C):

Kiểm soát truy cập vào toà nhà, thang máy và các thiết bị trong thành phố. Ví dụ khách muốn đến chơi nhà bạn bạn không cần xuống đón, anh khách sử dung thiết bị ở trước tòa nhà (R29C) đăng ký lên nhà B, sau đó anh B chấp thuận (IT83 or smartphone) từ đó hệ thống mở của cho anh A, cấp quyền sử dụng thang máy và mở cửa căn hộ.

• Giải pháp cho căn hộ (Apartment door R26C):

Anh khách muốn vào căn hộ anh B sử dụng thiết bị R26C ngoài căn hộ bấm chuông thực hiện call video vào thiết bị được gắn trong nhà IT83. Anh B ở trong căn hộ hoặc từ xa xác minh đanh tính anh khách qua màn hình (IT83) hoặc điện thoại mở cửa căn hộ cho khách hoặc người nhà.

• Ngoài ra còn một số giải pháp khác như đậu xe, SIP-base phone từ các cửa hàng, khu công cộng.

Một số lỗ hổng phát hiện được

Tương tự như các giải pháp IOT khác, các thiết bị trong hệ thống thành phố thông minh được triển khai phân tán tại các node là các điểm công cộng hoặc người dùng cuối. Điều này dẫn tới rủi ro lớn cho hệ thống, đặc biệt trường hợp này các thiết bị được join chung vào cùng 1 mạng nội bộ.

Attack vector

• Hướng tiếp cận để attacker khai thác các lỗ hổng tương đối đơn giản, attacker cần thuê một căn hộ tại thành phố để tiếp cần với hệ thống mạng và thiết bị.

• Phân tích Thiết bị R315 được lắp đặt bên trong căn hộ và hệ thống mạng.

• Truy cập và thu thập thông tin hệ thống mạng toà nhà.

• Các attack surface thông qua các thiết bị : App androind, Service web, Servives và thực hiện khai thác các lỗ hổng.

1. Truy Cập Camera tại các Hàng Lang Căn Hộ (Door bell)

Trong trường hợp giả định, quá trình triển khai thi công lắp đặt các thiết bị lỏng lẻo và các thông tin thu thập được thiết bị phía ngoài căn hộ hoàn toàn có thể dễ dàng bị thu thập thông qua scan mạng nội bộ. Điều này dẫn tới nếu không có các biện pháp xác thực như các dịch vụ RTSP. Lợi dụng lỗ hổng này, attacker có thể thực hiện streaming video thông qua giao thức mà không cần xác thực cho phép theo dõi nghe lén phía bên ngoài căn hộ.

2. Các Lỗ hổng Intercom R315C

Thiết bị sử dụng hệ điều hành android cho phép attacker dễ dàng lấy được các thông tin nhạy cảm trong thiết bị.

3. Truy cập thiết bị INTERCOM ở các Căn Hộ

Sử dụng được các thông tin thu thập được như:

• Địa chỉ IP và địa chỉ MAC của thiết bị có được bằng cách scan các dải mạng

• Các thông tin APP_ID và version firmware có thể Reverse app INDOOR.APK có chứa trong thiết bị.

Để thực hiện đăng nhập hệ thống cloud và cho phép sử dụng tất cả các tính năng trên thiết bị. Trong đó có tính năng nguy hiểm như cho phép tin tặc đăng ký người bất kỳ lên căn hộ bằng việc thoả hiệp cơ chế phân tầng của thang máy và để lộ các account của các hệ thống khác.

4. Lỗ hổng Command Injection trong dịch vụ UDP

Tiếp tục thu thập thêm các thông tin các trong thiết bị. Liệt kê các các dịch vụ đang listen.

Trong đó có dịch vụ cfgd_server port 189(UDP) cho phép thiết lập và lấy địa chỉ mac cho card mạng và một số tham số biến khác thông qua cộng cụ info_tool.

Dịch vụ cfgd_server nhận gói tin có dạng như sau:

Thiết bị có chứa micro cho phép hacker tận dụng lỗ hổng tải liên thiết bị các mã độc cho phép nghe lén các hội thoại trong các căn hộ.

Demo thực hiện lệnh reboot thiết bị từ xa.

Timeline:

04/04/2021: Thông báo các lỗ hổng và kèm PoC.

18/05/2021: Nhận được phải hồi đầu tiên và yêu cầu chi tiết lỗi command injection.

05/07/2021: Cập nhật tình trạng Fix bug và thông báo công bố lỗ hổng.

22/07/2021: Nhận phản hồi đã fix các lỗi đã thông báo.

References:

Tác giả: Hà Toàn