Produkcja IoT-a a bezpieczeństwo konsumenta - kilka wniosków

Na bazie przeprowadzonych testów penetracyjnych Smart TV MiniLED Model 2024 oraz urządzenia do beztłuszczowego smażenia / gotowania, nasunęły mi się pewne wnioski. Nie podaję celowo producenta - sądzę, że większość marek posiada podobne luki , dlatego wnioski są ogólne - na bazie testów, które wykonałem na własnym sprzęcie - domowym. Co sądzicie??? Zostawcie komentarz 😉 

Obsługa protokołu w wersji TLS 1.0 i 1.1, pokazuje że nowy TV (model
2024) nadal akceptuje połączenia przy użyciu przestarzałych wersji
protokołu TLS, co stwarzała zagrożenie przechwycenia ruchu sieciowego.
Dodatkowo serwer telewizora nie wymusza stosowania nagłówka HTTP
Strict Transport Security (HSTS), co potencjalnie pozwala na
przeprowadzenie ataku typu downgrade, w którym można zmusić
urządzenie do użycia nieszyfrowanego połączenia HTTP zamiast HTTPS.
✓ Wg informacji z infolinii, wsparcie TLS 1.2 poprzez obsługiwane
biblioteki mbedtls 2.26.0 jest wymuszone odgórnie.  TLS 1.3
wspiera dopiero biblioteka mbed w wersji 3.5.0 (w przypadku TV
wsparcie eksperymentalne). Podczas testów okazało się, że firmware nie
wymusza TLS 1.2, a dopuszcza 1.0 (podobnie w przypadku innego
urządzenia tego producenta, gdzie powtórzono atak).
✓ Zapewniono funkcjonalność protokołu TLS 1.2, ale nie usunięto obsługi
starszych protokołów, pozostawiając użytkownikowi „dowolność” w
stosowaniu. Decyzja może wynikać z potrzeby zapewnienia
kompatybilności z innymi, starszymi urządzeniami i systemami (np.
serwerami producenta, starszymi routerami czy usługami VOD).
Informacja infolinii technicznej pokrywa się z datą bibliotek mbedtls
2.26.0 - 2021, więc wsparcie protokołu TLS 1.2 jest od początku
wprowadzenia TV na rynek (model z 2024 roku), a nie poprzez
aktualizację firmware. Jednak nie ma wymuszenia na poziomie
systemowym TV - ta „dowolność” –ma swoją złą stronę w postaci luki
związanej z obsługą starszej metody szyfrowania.

Nasze bezpieczeństwo zależy nie tylko od konfiguracji infrastruktury domowej, ale od decyzji
podejmowanych na etapie projektowania urządzeń. Producenci mogą celowo wprowadzać
wsparcie dla starszych protokołów, by uniknąć problemów z kompatybilnością- niosłoby to za sobą większe koszty.
✓ Pełne wdrożenie TLS 1.3 wymaga dodatkowej pracy programistycznej i może nie być
priorytetem dla producentów telewizorów. Niektóre usługi jak Netflix mogą działać na różnych
wersjach TLS i wymuszenie TLS 1.3 mogłoby powodować problemy z kompatybilnością. Wersja
Mbed TLS 2.26.0 implementuje TLS 1.3 tylko eksperymentalnie. Aby telewizor w pełni
obsługiwał TLS 1.3, Producent musiałby prawdopodobnie wdrożyć nowszą wersję Mbed TLS lub
przejść na inną bibliotekę wsparcia np. OpenSSL. To dodatkowa praca dla programistów i
przeprojektowanie niektórych funkcji systemu operacyjnego TV. Wymuszenie na poziomie
systemowym nowszego standardu szyfrowania może wymagać odpowiednich certyfikatów
(zgodność z regulacjami bezpieczeństwa w różnych regionach świata) - dodatkowy koszt.
Również po takim wsparciu pojawiłyby się problemy – a więc koszty obsługi technicznej.
✓ Kolejne spostrzeżenie, dotyczące takich rozwiązań, dotyczy logistyki produkcji i łańcuchów
dostaw. Urządzenia składane są w różnych częściach świata (korzysta się z wielu zewnętrznych
dostawców np. układów scalonych, a ich firmware może nie zawsze wspierać pełnej
implementacji dla danego rozwiązania). Producent może stosować jedną wersję hardware dla
wszystkich rynków, zmieniając nieco firmware, aby uprościć produkcję i zadbać o
kompatybilność.

Również kwestia różnych certyfikacji w różnych częściach świata - zapewne ma wpływ na projektowane rozwiązania.

Finalnie bezpieczeństwo domowych urządzeń IoT zostaje przeniesiona ostatecznie na świadomość ostatecznego konsumenta. Ten - ma wybór - skorzystać z usług specjalisty, konfigurując domowa sieć oraz podłączając w niej urządzenia lub zostawić urządzenie w sieci, bez konfiguracji zabezpieczeń. Tylko aby wiedział, co należy zrobić i jakie może mieć konsekwencje - brak działań - najpierw musiałby być poinformowany, jakie ryzyko niesie brak działań i że kupując urządzenie w 2024 roku, ma ono podatności sprzed conajmniej 10 lat , więc do stricte bezpiecznych nie należy. I że przejęcie takiego urządzenia w sieci słabo skonfigurowanej może wiązać się z eskalacją uprawnień, poprzez atakującego, co finalnie może doprowadzić do bardzo przykrych konsekwencji!!!