.
Akuvox
O Akuvox E11 é anunciado como um interfone com vídeo, mas na verdade é muito mais do que isso. O dispositivo conectado à rede abre portas de prédios, fornece feeds de vídeo e microfone ao vivo, tira uma foto e carrega cada vez que alguém passa e registra cada entrada e saída em tempo real. O mecanismo de pesquisa de dispositivos do Censys mostra que cerca de 5.000 desses dispositivos estão expostos na Internet, mas provavelmente há muitos mais que o Censys não consegue ver por vários motivos.
Acontece que esse dispositivo onipotente e onisciente está cheio de falhas que fornecem vários caminhos para colocar dados confidenciais e recursos poderosos nas mãos de agentes de ameaças que dedicam tempo para analisar seu funcionamento interno. Foi exatamente isso que os pesquisadores da empresa de segurança Claroty fizeram. As descobertas são sérias o suficiente para que qualquer pessoa que use um desses dispositivos em uma casa ou prédio pare de ler este artigo, desconecte seu E11 da Internet e avalie para onde ir a partir daí.
As 13 vulnerabilidades encontradas pela Claroty incluem autenticação ausente para funções críticas, autorização ausente ou imprópria, chaves codificadas que são criptografadas usando chaves acessíveis em vez de hash criptográficas e a exposição de informações confidenciais a usuários não autorizados. Por pior que sejam as vulnerabilidades, sua ameaça é agravada pelo fracasso da Akuvox – um fornecedor líder na China de sistemas inteligentes de intercomunicação e entrada de porta – em responder a várias mensagens da Claroty, do Centro de coordenação CERT e da Cibersegurança e Segurança de Infraestrutura Agência durante um período de seis semanas. A Claroty e a CISA publicaram publicamente suas descobertas na quinta-feira aqui e aqui.
Todas as vulnerabilidades, exceto uma, permanecem sem correção. Os representantes da Akuvox não responderam a dois e-mails solicitando comentários para este artigo.
O que esse dispositivo está fazendo no meu escritório?
Os pesquisadores da Claroty se depararam com o E11 pela primeira vez quando se mudaram para um escritório com um pré-instalado na porta. Dado seu acesso às entradas e saídas de funcionários e visitantes e sua capacidade de espionar e abrir portas em tempo real, eles decidiram olhar sob o capô. A primeira bandeira vermelha que os pesquisadores encontraram: as imagens tiradas sempre que um movimento era detectado na porta eram enviadas por FTP não criptografado para um servidor Akuvox em um diretório que qualquer pessoa podia visualizar e, a partir daí, baixar as imagens enviadas por outros clientes.
“Ficamos muito surpresos quando começamos e vimos o FTP”, disse Amir Preminger, vice-presidente de pesquisa do grupo de pesquisa Team82 da Claroty, em entrevista. “Nunca imaginamos encontrar um FTP a descoberto. Bloqueamos o dispositivo primeiro, o isolamos de tudo, colocamos em sua própria ilha e o usamos como autônomo. Estamos no processo de substituí-lo.”
Enquanto a análise continuava, o comportamento do servidor FTP mudou. O diretório não pode mais ser visualizado, portanto, presumivelmente, também não pode mais ser baixado. Uma ameaça significativa continua a existir, no entanto, uma vez que os uploads de FTP não são criptografados. Isso significa que qualquer pessoa capaz de monitorar a conexão entre um E11 e o Akuvox pode interceptar uploads.
Outra grande descoberta dos pesquisadores foi uma falha na interface que permite ao proprietário usar um navegador da Web para fazer login no dispositivo, controlá-lo e acessar feeds ao vivo. Embora a interface exija credenciais de acesso, a Claroty encontrou rotas ocultas que davam acesso a algumas funções da web sem senha. A vulnerabilidade, rastreada como CVE-2023-0354, funciona contra dispositivos expostos à Internet usando um endereço IP estático. Os usuários fazem isso para se conectar ao dispositivo remotamente usando um navegador.
Essa não é a única vulnerabilidade que permite acesso remoto não autorizado a um E11. O dispositivo também funciona com um aplicativo de telefone chamado SmartPlus, disponível para Android e iOS. Ele permite acesso remoto mesmo quando um E11 não está diretamente exposto à Internet, mas sim atrás de um firewall usando tradução de endereços de rede.
O SmartPlus se comunica com o intercomunicador usando o protocolo de iniciação de sessão, um padrão aberto usado para comunicações em tempo real, como chamadas de voz e vídeo, mensagens instantâneas e jogos.
.
