物联网的圣诞"劫"-黑客攻击圣诞灯

安全研究人员在Twinkly的物联网灯中发现了一些可以利用的缺陷，可以显示自定义灯光效果并远程关闭它们的圣诞节彩灯。

专家们能够控制灯光来玩贪吃蛇，这是20世纪90年代诺基亚开发的流行游戏。

Twinkly智能装饰可以通过手机app控制，专家们将测试重点放在通信上。该应用程序通过本地网络上的未加密通信连接装饰，允许攻击者进行中间人攻击。

移动应用程序使用UDP广播到端口5555来发现LED，然后它接收IP地址和设备名称。

安全研究人员利用灯光装饰玩贪吃蛇

“从应用程序到灯光的所有通信都是通过灯具的端口80上的RESTful HTTP API端点完成的。通信未加密， 然而WiFi密码在设置期间被加密发送（尽管很容易解密）。“MWR InfoSecurity 发布的分析报告中写道。

“由于通信没有加密，所以很容易让中间人来分析流量和API。“

一旦移动应用程序发现了灯的IP地址，它就会对它们进行身份验证，接收身份验证令牌并检索有关设备的信息。专家在认证过程中发现了一个缺陷，它只验证应用程序的灯光而不是凭据。 

“首先，应用程序使用ba se64编码的32位随机数向端点'/xled/v1/login'发出POST请求 。这些灯会响应一个身份验证令牌，它的有效时间，以及对ba se64编码的响应。此响应基于随机的挑战编号，灯光的MAC地址和共享密钥。“分析还说道。

“移动应用程序将身份验证令牌设置为一个HTTP头，并将收到的响应发送回端点'/XLED/V1/verify”上的灯。这样就完成了身份验证，允许调用经过身份验证的端点。

专家们在固件中发现了硬编码凭证，用于通过消息队列遥测传输（MQTT）协议连接到私有代理，以便与远程IoT板和传感器交换消息。

MQTT协议是发布 - 订阅消息传递协议，其中设备/节点连接到中心代理。设备可以订阅或发布消息到消息队列（'主题'），其他设备也可以订阅或发布到消息队列。

每个Twinkly灯都有3个主题，他们订阅/发布到：

/xled/status/$MAC/ 
/xled/appstatus/$MAC/ 
/xled/command/$MAC/

“当灯首次亮起时，他们会发布他们的连接状态，他们连接的SSID，以及他们的内部IP到主题'/xled/status/$MAC/”。这可以说是一个低风险的信息泄露。“分析报告说。

“MQTT的一个有趣特性允许您使用通配符（由符号'＃'定义）订阅主题。因此，如果我们订阅带有“＃”的主题的根目录，我们将订阅所有主题并看到所有的灯发布的信息。“

专家监控了根目录中唯一的mac地址，发现至少有20,000台设备暴露在网上。

专家们指出，任何节点都可以发布到任何主题，允许任何人向任何一组灯发出命令。专家们能够远程控制办公室的灯光。

专家们演示了Twinkly灯的远程管理，实现了DNS重绑定攻击技术。

DNS重新绑定攻击允许任何网站创建他们有权与之通信的DNS名称，然后将其解析为localhost。

可以利用此攻击技术来定位易受攻击的计算机，并利用在localhost接口上运行的或公开本地服务的应用程序中的漏洞。

攻击者只需诱骗受害者访问恶意页面或查看恶意广告就可以发动攻击。

MWR实验室创建了一个恶意网页，一旦被受害者访问，就可以枚举本地网络上的所有设备。如果网络中存在Twinkly灯，他们将被指示显示“Hack the Planet！”（攻击地球）消息。

来源：https://securityaffairs.co/wordpress/79130/hacking/twinkly-christmas-lights-hacking.html