Reflektion: Sårbarheter i IoT-prylar

Mattias Sjödin IT-Säkerhet

Jag noterade igår att en uppkopplad Air Fryer är behäftad med sårbarheter som gör att en angripare kan få tillgång till den och, gud förbjude, inte bara slå av och på den utan dessutom ändra inställningar.

Nåväl, den raljanta tonen till trots är den här typen av sårbarheter kanske i just fallet Air Fryer något mer mångfacetterad. Det finns kanske en säkerhetsrisk i att om enheten skulle slås på under tiden innehavaren är på semester kanske bostaden börjar brinna beroende på var enheten står osv. En tendens med just uppkopplade IoT-enheter är att de generellt är konstant inkopplade och därmed uppkopplade.

Det som den mediala bevakningen (hittills i skrivande stund) inte tagit hänsyn till är det faktum att en angripare faktiskt får otillbörlig tillgång och potentiellt i förlängningen full kontroll över en enhet på det lokala nätverket. Vad kan angriparen hitta på därifrån? Även om den aktuella enheten bygger på en microprocessor av typen ESP-01S (den har 1MB minne och pyttelite processorkraft) och en angripare kanske inte kan använda just den för direkta dunkla syften så är den en potentiell språngbräda att hoppa vidare från.

Igår var det en Air Fryer som hamnade under lupp – men den är i gott sällskap. Palo Alto/Unit42 publicerade för ett drygt år sedan ”2020 Unit 42 IoT Threat Report” där en av de mest oroväckande trenderna var att 98% av all IoT-relaterad trafik var okrypterad. Sårbarheterna som avser Air Fryern hade inte uppstått om enheten hade använt sig av adekvat kryptering.

Jag har tidigare skrivit i den här artikeln kring hur jag tycker att man bör skydda nätverket i sitt hem, och i företagsnätverk är adekvat skyddsnivå kopplat till IoT-enheter ett absolut måste. Där får IoT-enheter inte finnas i samma nätverkssegment som varken servrar, klienter, mobila enheter eller annan infrastruktur. Helst bör varje IoT-enhet eller grupp av enheter microsegmenteras för bästa säkerhet.

Trots allt är det en sak som vi tills vidare måste vänja oss vid: Säkerheten i IoT-prylar är usel och kommer vara det under en hygglig tid framåt. Palo Alto/Unit42 har ännu inte släppt en uppdaterad rapport för 2021, men jag är övertygad om att det inte ser så mycket bättre ut idag. Du behöver alltså som grundläggande åtgärder:

  1. Fundera över en IoT-enhets existensberättigande. Är den nödvändig eller bara ”en kul grej”? Skippa den om den inte är nödvändig.
  2. Aktivera all säkerhetsfunktionalitet i IoT-prylen som erbjuds. Kan kommunikation krypteras så se till att aktivera kryptering. Glöm inte bort andra protokoll än webbgränssnitt, så som MQTT, SNMP osv.
  3. Skydda nätverket. Se till att nätverkssegment med IoT-enheter inte kan komma åt andra nätverkssegment mer än absolut nödvändigt. De ska heller inte ha åtkomst till Internet mer än som behövs för funktionaliteten.
  4. Säkerhetsuppdatera enheterna löpande. Vissa har möjlighet att sätta upp centrala managementpunkter för enklare hantering och säkerhetsuppdateringar.

Mattias Sjödin

Jag arbetar som konsult, främst inom Informations- och IT-säkerhet där jag hjälper företag och organisationer med det mesta inom området. Jag har haft olika befattningar inom IT-branchen, bland annat som CISO inom ett större multinationellt företag speciliserat inom IT-infrastruktur och IT-tjänster så som outsourcing. Naturligtvis har jag bevisad kompetens och erfarenhet i ryggen genom CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.