Def Con 2020: Millionen von IoT-Geräten im Handumdrehen hackbar

Zwei Jahre lang hat der Sicherheitsexperte Paul Marrapese sich mit Peer-to-Peer-Protokollen (P2P) auseinandergesetzt, die von Überwachungs- und Baby-Kameras, vernetzten Türklinken, digitalen Videorekordern, NAS-System oder vernetzten Alarmanlagen verwendet werden. P2P bezieht sich dabei auf die direkte Verbindung zwischen dem jeweiligen Gerät und einem Client, also beispielsweise der App zum Abruf der Kamerabilder.

Vorteil für Anwender: Sie müssen sich nicht mit Portfreigaben oder Diensten für dynamisches DNS herumschlagen, das P2P-Protokoll hält die Ports dauerhaft offen und verbindet Clients mit Endgeräten. Das funktioniert auch, wenn beide Kommunikationspartner hinter einem Router sind, der per NAT (Network Address Translation) Verbindungen verwaltet.

50 Millionen Geräte unter 20 Markennamen

Konkret hat sich der Researcher mit dem Protokoll iLnkP2P von Shenzen Yunni befasst, das nach Auskunft des Herstellers in über 3,6 Millionen Endgeräten zu finden ist. Es ist funktionsgleich mit CS2 Network P2P, das in mehr als 50 Millionen Endgeräten werkelt. Die jeweils auf den Protokollen aufsetzenden Endgeräte seien allein bei Amazon unter 20 Markennamen erhältlich. Da die P2P-Protokolle essenziell für das Funktionieren der Gerätschaften sind, lassen sie sich nicht deaktivieren. Sicherheitslücken im Protokoll sind umso schwerwiegender, da die auf den untersuchten Geräten installierte Version von BusyBox durchweg mit root-Rechten arbeitet.

Dreh- und Angelpunkt des von Marrapese im Rahmen seiner Def-Con-Präsentation beschriebenen Angriffs ist die fest im Gerät hinterlegte eindeutige ID (UID). Mittels dieser UID identifizieren die von den Herstellern laut Marrapese hauptsächlich bei Amazons AWS und Alibaba gehosteten P2P-Server das Endgerät, das sich über UDP-Port 32100 beim Server meldet. Die Server teilen anfragenden Clients beziehungsweise Endgeräten die jeweils von der Gegenseite übermittelten Angaben zu öffentlicher IP-Adresse und geöffnetem Port mit, sodass die Kommunikationspartner direkt in Kontakt treten können.

Prüfsummen-Algorithmus auf dem Silbertablett

Die UID besteht aus einem drei oder vierstelligen Präfix, anhand dessen die Hersteller die von ihnen produzierten Geräte erkennen, einer Seriennummer und einer Prüfsumme. Alle derzeit verwendeten 488 Präfixe ermittelte der Forscher mittels eines Skripts durch Anfrage an die Server binnen 36 Stunden. Die sechs- oder siebenstellige Seriennummer wird fortlaufend vergeben. Kritisch ist die Prüfsumme: Ist sie ungültig, weist der Server die Kontaktaufnahme zurück. Da einige Hersteller die zur Berechnung dieser Prüfsumme verwendeten Algorithmen in den mit den Geräten ausgelieferten iLnkP2P-Bibliotheken hinterlegt haben, kam Paul Marrapase auch an diese Informationen.

Ein vom Researcher programmiertes Skript erzeugte sämtliche theoretisch existierenden UIDs und fragte die insgesamt 618 P2P-Server ab, die Marrapese identifizierte (14 Prozent der Server reagieren auf iLnk P2P, der Rest auf CS2). War ein Gerät online, lieferte der Server dessen IP-Adresse an Marrapese zurück. Ergebnis: 21 Prozent der insgesamt 3,6 Millionen gefundenen Geräte befinden sich in Europa, mehr als die 50 Prozent in Thailand und China. Den Standort ermittelte der Researcher mittels einer von Google bereitgestellten API, deren Resultate er dann zum Erstellen einer interaktiven Weltkarte verwendete.

In der Firmware von Hichip-Geräten, die gut 2,9 Millionen der identifizierten P2P-Endgeräte ausmachten und unter gut 50 Markennamen verkauft werden, entdeckte der Forscher einen Pufferüberlauf. Mittels Missbrauchs dieses Bugs lassen sich in Kombination mit der UID eine Reverse Shell aufmachen und so unter anderem beliebige Files ausführen – ideale Bedingungen für den Aufbau eines riesigen IoT-Botnetzes.

Man in the Middle ab Werk

Die P2P-Protokolle sind auch anfällig für Man-in-the-Middle-Attacken: Meldet sich ein Angreifer mit einer beliebigen UID beim Server, leitet dieser die Informationen an den Client weiter. Der Client schickt dann beim nächsten Log-in ohne weitere Prüfung Nutzernamen und Passwort an das Gerät des Angreifers.

Erheblich durchschlagkräftiger wird das Belauschen aufgrund einer anderen Eigenheit der Protokolle: Beliebige Endgeräte können von Servern zu sogenannten Super Devices befördert werden. Diese dienen als Proxy für den Fall, dass die direkte Kommunikation zwischen Client und Endgerät fehlschlägt. Da die Protokolle keinerlei Verschlüsselung mitbringen, kann der Besitzer eines Super Devices sämtlichen Datenverkehr mitschneiden, der durch sein Endgerät wandert. Die Besitzer der betroffenen Endgeräte, deren Daten durch ein Relay fließen, erführen hiervon laut Marrapese nichts.

Der Forscher hat einen Dissector für Wireshark programmiert, der die P2P-Mitschnitte analysieren kann. Per Skript lassen sich so im Fall von Videostreams die Paketmitschnitte als Videodatei exportieren. Passwörter und Nutzernamen lassen sich so ebenfalls abfischen.

Sicherer Betrieb: einfach nicht ans Internet!

Paul Marrapeses Arbeit führte zu sieben CVE-Einträgen. Shenzen Yunni meldete sich in über eineinhalb Jahren nicht zurück und hat auch kein Update bereitgestellt. CS2 Network P2P will die Probleme in der kommenden Version 4.0 des Protokolls beheben und Hichip hat seine drei Lücken im Juni mittels Update geschlossen. Ob diese Updates jedoch installiert werden, steht im Zweifel: Der Hacker hat P2P-Kameras entdeckt, die seit dem Jahr 2015 kein Firmware-Update erfahren haben.

Amazon, das verwundbare Geräte unter 20 Markennamen verkauft, hat auf Hinweis von Marrapese nicht reagiert. Und eBay, über das man die Geräte ebenfalls kaufen kann, weist darauf hin, dass ein sicherer Betrieb möglich sei – wenn man die Gerätschaften nicht ans Internet anschließt.

(tiw)