В этой статье обсуждаются риски безопасности, связанные с умными бытовыми приборами и устройствами Интернета вещей, особенно в отношении авторизации и аутентификации. OWASP (Open Web Application Security Project) определил четыре из 10 основных рисков безопасности API, которые также применимы к этим устройствам. Поставщики устройств, работающие с операционными системами с открытым исходным кодом, могут непреднамеренно создавать уязвимости, что затрудняет установку исправлений и обновление систем для клиентов. Несанкционированный доступ через приложения или интеллектуальные функции также является проблемой, особенно для небольших компаний или стартапов.
Нагретой воде из крана требовалось слишком много времени, чтобы вытечь, и с этой проблемой я столкнулся неожиданно. Я не планировал обнаружить, что какое-то время водонагреватели, подобные моему, потенциально могут быть доступны кому угодно. С помощью некоторых манипуляций с API и адресом электронной почты злоумышленник мог бы регулировать его температуру или поддерживать его работу на неопределенный срок. Таков был неудачный поворот событий.
Давайте на мгновение перемотаем назад. Примерно в прошлом году мы с женой стали новыми домовладельцами. В нашем доме был проточный водонагреватель Rinnai, спрятанный в подсобном помещении гаража. В процессе покупки дома ни строитель, ни жилищный инспектор не выразили никаких серьезных опасений по этому поводу, а просто предложили проводить ежегодную уборку для технического обслуживания.
Проточные водонагреватели экономят энергию, не поддерживая большой резервуар с горячей водой. Вместо этого они нагревают воду по требованию, что может сэкономить до 34%, по оценкам Министерства энергетики. Однако этот процесс происходит медленнее по сравнению с традиционными водонагревателями. Когда вы открываете кран, система активируется, нагревает воду с помощью источника топлива, такого как природный газ, а затем проталкивает ее по трубам к крану.
В своей повседневной жизни я часто терпел озноб, держа руку под холодной водой в раковине или душе в течение длительного периода времени, дольше, чем необходимо, ожидая прибытия более теплой воды. Я осознал обмен энергией и водой, который осуществлял. Однако этот процесс отнял у меня не только время, но и ценную питьевую воду, хотя ее было в изобилии и она была относительно доступной. Эта ненужная трата меня раздражала.
Я даже не подозревал, что решение было не за горами.
Точка горячего водоснабжения
Когда я вошел в подсобное помещение, чтобы отключить сливы шлангов, готовясь к зиме, я наткнулся на пластиковый пакет, прикрепленный магнитом к задней стороне водонагревателя. Кормовая желтая предупреждающая этикетка на устройстве гласила: «Внимание: для работы рециркуляции требуется модуль Wi-Fi Control-R». Согласно этикетке, водонагреватель не будет обеспечивать циркуляцию воды без установки этого модуля.
Recirculation means that the heater would start pulling water and heating it on demand, rather than waiting for enough negative pressure from the pipes. To trigger this, Rinnai offered smartphone apps that could connect through its servers to the module.
Я нашел руководство пользователя, отсоединил водонагреватель и впоследствии открыл его. Язык руководства («НЕ ПРИКАСАЙТЕСЬ», если вы не «должным образом сертифицированный технический специалист») значительно контрастировал с оптимистичным тоном инструкций («максимизируйте потенциал вашего нового модуля»). Однако, прочитав руководство и выполняя подобные задачи раньше, я считал себя достаточно подготовленным и техничным. Следуя инструкциям руководства и регулируя маленькие бежевые ручки в соответствии с инструкциями, я установил устройство и успешно выполнил стандартную процедуру «Подключите свой телефон к этой необычной точке доступа».
Имея в своем распоряжении новое приложение, я смог запустить рециркуляцию и насладиться горячим душем еще до того, как встану с постели. Кроме того, я мог заниматься домашними делами, например, мыть посуду, не вставая с дивана. Однако доступ к этому удобству через мой телефон ощущался как замена одной проблемы на другую.
Подземная рециркуляционная сеть
Как энтузиаст домашней автоматизации с особым интересом к Home Assistant, я начал поиски расширенной функциональности. Я наткнулся на неофициальный компонент Rinnai и решил попробовать. Результат оказался поистине преобразующим. Теперь у меня есть возможность настроить рециркуляцию в соответствии с моим предпочтительным графиком, с возможностью запускать ее различными способами и при любой температуре. Например, если я хочу, чтобы горячая вода начала течь зимним утром, как только в моей спальне зажигается свет, но только когда Луна находится в Водолее, это возможно (и нет, я это не выдумываю). Будущее кажется уютным, но при этом энергоэффективным и всегда готовым удовлетворить мои конкретные потребности.
Если бы все шло гладко, зачем мне еще писать этот текст? Я обратился к разработчикам, ответственным за эту интеграцию, подумывая записать отчет о своем недавнем опыте получения горячей воды быстрее. Возможно, я смогу узнать, что движет этими людьми, которые щедро вкладывают свои навыки в такие полезные проекты. Неожиданный поворот событий добавил к моей сольной постановке захватывающий второй и фантастический третий акт.
Я общался со специалистом по интеграции Брэдом Барбуром по электронной почте и по телефону. Как и я, Барбур стремился улучшить производительность своего проточного водонагревателя Rinnai для своей технически подкованной личности и своей семьи, потребляющей воду. Несмотря на то, что они проживают в месте, где отрицательные температуры случаются редко, но не совсем отсутствуют, большинство домов там не построены так, чтобы выдерживать холодную погоду. Барбур был полон решимости внедрить автоматизированную систему, которая будет поддерживать циркуляцию горячей воды через регулярные промежутки времени, когда температура приближается к отметке замерзания.
По словам Барбура, первоначальная версия приложения Риннаи «Control-R» не отличалась функциональностью и удобством. Поддерживалась только одна учетная запись пользователя, а интеграция с Google редко работала эффективно. Более того, пользователи могли только устанавливать расписания, но не автоматизировать их. Стремясь создать лучшую альтернативу, Барбур отслеживала сетевую активность приложения, чтобы изучить потенциальные улучшения.
По словам Барбура, взаимодействие Control-R с серверами Риннаи было описано как «простое». Однако, изучив незаписанные вызовы API, Барбур обнаружил неожиданный вывод: достаточно было иметь зарегистрированный адрес электронной почты, чтобы получить доступ к информации или изменить настройки подключенного водонагревателя.
Странное поведение с чужой водой
«Барбур рассказал, что ему было трудно поверить, что это так, пока пользователь GitHub не связался с ним, и они оба пришли к одному и тому же пониманию. Оказалось, что можно управлять любым подключенным водонагревателем Rinnai, если у вас есть соответствующий адрес электронной почты. адрес.»
Дэниел Дулитц в публичной дискуссии на GitHub по поводу проекта под названием «Как работает аутентификация?» общался с Барбуром 29 июня 2021 года. Он поднял ключевой вопрос, касающийся приложения Риннаи.
Как аналитик, я обнаружил, что эта конечная точка не требует аутентификации, что делает всю связанную информацию о моем водонагревателе доступной для всех в Интернете. Более того, они могут изменять настройки температуры с помощью ключа API, который общедоступен в кодовой базе и доступен всем пользователям.
Пожалуйста, подтвердите или опровергните мое наблюдение.
Эти двое вынесли Риннаи предупреждение о безопасности, которое я просмотрел. В этом сообщении предупреждается, что, хотя используемые в системе технологии — AWS Cognito, App Sync/GraphQL и CloudFront — считаются безопасными, похоже, что они были настроены без необходимости использования токенов доступа или ключей для чтения и записи. Это означает, что с помощью всего лишь вашего адреса электронной почты можно манипулировать настройками температуры вашего водонагревателя, делая его слишком холодным или опасно горячим. Кроме того, также можно получить доступ к домашнему адресу, введенному при регистрации приложения Control-R.
Настройка «чрезвычайно горячей» воды может быть незначительной, поскольку большинство бытовых моделей Rinnai имеют ограничение температуры в 120 градусов по Фаренгейту. Превысить это значение можно только в том случае, если вручную настроить параметры. Полное отключение вашего газового прибора, как предложил Control-R, может быть опасным; В вашем руководстве пользователя не рекомендуется оставлять его выключенным более чем на две недели из-за накопления газообразного водорода. Более того, несанкционированное вмешательство в работу вашего водонагревателя на основании электронного письма и предполагаемого бренда, как правило, не рекомендуется.
Барбур и Дулитц физически не выдавали уведомление; вместо этого, по их словам, они были заняты другими делами и не знали, как безопасно поделиться ими с компанией. Позже Риннаи представил обновленную систему аутентификации и совершенно новое приложение под названием «Rinnai Central».
Дастин Д. Кларк, еще один опытный программист, пришел к аналогичным выводам и выразил те же опасения Барбуру и Дулицу, отдельно работая над созданием контроллера Rinnai для HomeBridge.
Основываясь на информации, которую Кларк предоставил в своем электронном письме, я могу с уверенностью утверждать, что примерно до 23 августа 2022 года API для установки состояния с помощью Риннаи не требовал токена аутентификации. Кларк упомянул о своем обязательстве выполнить это требование, которое он назвал «ликвидацией разрыва». Однако существует вероятность того, что вам понадобится токен аутентификации для получения уникального идентификатора пользователя по его адресу электронной почты; хотя Кларк не уверен, изменилось ли это.
Я обратился к Риннаи с некоторыми вопросами относительно их старого API и его модификаций. Ответ, который я получил в ответ, оказался на удивление сложным по сравнению с тем, с чем мы имели дело изначально.
Только для владельцев водонагревателей
Как аналитик, я получал несколько электронных писем от PR-агентства, представляющего Риннаи. Один из их представителей связался со мной и сказал, что Риннаи был бы рад «предоставить возможность дать интервью» (чего я изначально не предлагал и не просил). Они признали мой статус нового домовладельца и их нынешнего клиента. Полученные мной ответы были сформулированы в контексте обслуживания клиентов и содержали ответы, специально предназначенные для моего понимания.
Как исследователь, я столкнулся с информацией, которая первоначально указывала на то, что только Кевин Парди, как владелец водонагревателя, имел доступ к предоставленному тексту, а не Кевин Перди, будучи журналистом. Однако важно отметить, что до отправки ответов не было никаких соглашений относительно статуса записи, обмена справочной информацией или каких-либо других стандартных протоколов сбора новостей. Чтобы внести ясность, я еще раз обратился к представителю, чтобы прояснить этот момент.
Похоже, что предоставленные ответы не предназначены для интерпретации как официальные ответы компании на ваши вопросы. Вместо этого они представляют собой решение не предоставлять комментарии по каждому вопросу для ваших конкретных нужд.
По моему опыту, я часто включаю расшифровки разговоров со службой поддержки клиентов, рассказывая о продукте. Однако из вашей формулировки следует, что официального ответа от компании на конкретный запрос, например, о необходимости найма профессионала для установки, нет.
Я заметил, что представитель подтвердил мою точность. Риннаи предпочла не участвовать в обсуждении статьи. Если бы мне потребовались дополнительные запросы, их команда по связям с общественностью предложила связаться с их отделом обслуживания клиентов. Вместо этого я решил завершить этот этап расследования.
Несмотря на это, отзывы службы поддержки компании оказались весьма невпечатляющими. Они утверждали, что модуль Wi-Fi требует профессиональной установки. Они также опровергли утверждения о том, что в прошлом доступ к элементам управления обогревателем можно было получить только по адресу электронной почты. Важно отметить, что Rinnai не публиковала никаких рекомендаций по безопасности или уведомлений о распространенных уязвимостях и рисках (CVE), касающихся своего API, ни в прошлом, ни в настоящее время.
«Нам нужно больше полицейских на месте»
Как наблюдатель, я заметил, что вопросы контроля доступа занимают первое место среди основных препятствий в обеспечении безопасности API, по словам Эреза Ялона, который занимает должность вице-президента по исследованиям безопасности в Checkmarx и возглавляет проект безопасности API в компании Checkmarx. Открытый проект безопасности веб-приложений (OWASP). Среди 10 основных рисков OWASP, связанных с безопасностью API, значительное число (четыре, если быть точным) связано с авторизацией и аутентификацией. Это наблюдение справедливо не только для API, но и для Интернета вещей (IoT) и умной бытовой техники.
Марк Островски, технический руководитель Check Point Software, отметил, что производители устройств Интернета вещей, использующие операционные системы с открытым исходным кодом, могут разрабатывать и распространять устройства с существующими уязвимостями до того, как они достигнут потребителей. Обновление и исправление этих систем часто является сложной задачей для клиентов, поэтому необходимо повысить безопасность дома в ответ на растущую зависимость от интеллектуальных устройств.
По данным исследователей Consumer Reports, несанкционированный доступ к приложению продукта или его расширенным функциям случается нечасто. Эта проблема часто связана с новыми или небольшими компаниями, включая стартапы и бренды с «white-label», которые стремятся предлагать технологически продвинутые продукты без тщательного тестирования на предмет безопасности.
В семнадцати штатах, включая Мэриленд, предприятия обязаны защищать личную информацию своих клиентов в соответствии с законами о конфиденциальности. Федеральная торговая комиссия (FTC) и генеральные прокуроры различных штатов в настоящее время обеспечивают соблюдение законов о защите потребителей в отношении безопасности данных. Примечательный случай произошел, когда Consumer Reports сообщил в Генеральную прокуратуру Калифорнии о недостаточных мерах безопасности приложения Glow для беременных, что привело к урегулированию в конце 2020 года. Кроме того, предлагаемый FCC кибер-знак доверия призван побудить компании придерживаться первоклассных стандартов. практики кибербезопасности.
По сути, Consumer Reports выступает за увеличение присутствия полиции на улицах и введение более жестких наказаний для корпораций, которые игнорируют правила безопасности.
Проблема с лучшими, чем официальные, инструментами для умного дома
Я высказал Барбуру, Дулицу и Кларку свои сомнения по поводу публикации их инновационного решения на новостной платформе. Их творение было ориентировано на нишевую аудиторию, которая сталкивается со сложностями «умных» устройств и связанных с ними приложений. Раньше их вознаграждение ограничивалось самоудовлетворением, скромными пожертвованиями и сердечными электронными письмами. Однако риски значительно возросли. Возможные последствия включали получение уведомлений Закона о защите авторских прав в цифровую эпоху (DMCA), угрозы судебных исков, удаление их кода или их комбинацию.
В прошлом году производитель устройств для открывания гаражных ворот Chamberlain раскритиковал «несанкционированное использование» своего API сторонними приложениями, такими как Home Assistant, после намеренного нарушения работы их расширения. В ответ Паулюс Шутсен, основатель Home Assistant, написал в блоге, что Чемберлен требует оплаты от «авторизованных партнеров» для интеграции с их программами открытия myQ. Поскольку Home Assistant является некоммерческим проектом с открытым исходным кодом, он не смог выполнить требования. Однако домовладельцы могут обойти это ограничение, используя небольшое устройство, называемое «крысиным щитком», и некоторую проводку, чтобы восстановить доступ к устройствам открывания собственных гаражных ворот.
In another case, a useful, unofficial Home Assistant tool for Mazda vehicle owners, developed from traffic watching, was wiped out in 2023 when its mostly sole developer received legal notices and DMCA takedown requests from Mazda. The coder told me by email at the time that while he believed his project was “morally correct and legally protected,” he couldn’t afford to take on the financial risk of legal action “for something that I do in my spare time to help others.”
Обнаружение и обмен подробностями о сложных технологических проектах DIY вызывает у меня беспокойство из-за их уникальной природы и потенциальной полезности. Это как если бы я наткнулся на эксклюзивный андеграундный рок-клуб, но есть риск, что кто-то с большим влиянием, например мой отец, имеющий связи с местными властями, может следить за моей деятельностью, оставив GPS-трекер на моем подержанном Аккорде.
Трое программистов не выразили возражений против того, чтобы Риннаи информировали об их проектах и проблемах, с которыми они столкнулись изначально. В настоящее время Барбур разрабатывает канал локальной сети для модуля Wi-Fi, стремясь обойти серверы Риннаи и предотвратить любые потенциальные затруднения между Mazda и Чемберленом.
Схоутен заявил, что Home Assistant привлекает к расследованиям как подозреваемых, так и обвиняющие компании. Однако, несмотря на наличие фонда, у Home Assistant нет средств для подачи иска против этих компаний. Выиграть отдельное дело неэффективно, поскольку компании продолжают искать альтернативные способы ограничить доступ пользователей к своим данным. Этот бесконечный цикл кошек и мышек продолжается до тех пор, пока закон не предписывает предоставлять пользователям доступ к их собственной информации.
И еще: Вода теплая
В настоящее время мое импровизированное решение с открытым исходным кодом эффективно, превосходя приложение по различным аспектам. Он предлагает немедленные ответы, однозначные отзывы о своем функционале и предоставляет массу полезной информации. Кроме того, это вызвало во мне волнение, предоставив возможность реализовать еще один интересный проект домашней автоматизации.
Rinnai предоставляет варианты беспроводного запуска своих систем отопления через авторизованных установщиков. К ним относятся кнопки и датчики движения, которые инициируют кровообращение. Основываясь на моем анализе идентификаторов устройств, я считаю, что это устройства Zigbee частной марки, которые подключаются к модулю Control-R. Тем не менее, я не могу точно сказать о радиусе действия этих устройств и о том, будут ли они расширять сигналы друг друга, как это типично для технологии Zigbee. Кроме того, информация о продолжительности их поддержки в настоящее время недоступна.
Как аналитик, я нашел экономичное и эстетически приятное решение, позволяющее запустить рециркуляцию воды в моем доме с помощью Home Assistant и кнопок Tradfri от Ikea. Пройдя процесс сопряжения Zigbee и обновив прошивку, я теперь могу нажать кнопку, чтобы подать мне горячую воду. Более того, у меня есть возможность назначать другие триггеры, такие как двойной щелчок или длительное нажатие, для выполнения дополнительных задач, таких как приглушение света для расслабляющей ванны.
Теперь нагретая вода течет из крана по требованию, хотя путь к этому был довольно окольным.
Смотрите также
- На фотографии iPhone 16 Pro Max видны удивительно тонкие рамки
- Приложение Google Gemini AI получает более широкую версию. Ваш телефон есть в списке?
- Xiaomi Mix Fold 4 против Xiaomi Mix Flip: в чем разница?
- Эта функция Apple Watch сводила меня с ума. Вот как я это исправил
- Что лучше: Dell Latitude или Inspiron?
- Если вы скучаете по старым Windows Phone от Nokia, вам понравится HMD Skyline.
- 4 фильма ужасов, которые стоит посмотреть в кинотеатрах в мае 2024 года
- Трюк Google Search «udm=14» позволяет навсегда убить ИИ-поиск
- Как заблокировать приложения на Android (и почему это следует сделать)
- Официально: AMD Ryzen AI 300 до 40% быстрее
2024-05-17 14:56