Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

zaterdag 15 augustus 2020 00:11

Acties:
  • redfox314
  • Registratie: December 2004
  • Laatst online: 07-11 14:35

redfox314

Topicstarter
Graag jullie mening over onderstaande.

Omdat ik in general iot devices niet zo vertrouw draait mijn domotica in een apart netwerk segment met een zeer strenge firewall. Dat levert enkel het probleem het probleem op met firmware updates. Voor een van de devices was ik aan het kijken hoe dit aan te pakken. Daarom was ik in mijn firewall an het kijken hoe devices van deze vendor dit aanpakken.

Het gaat als volgt.
Device vraagt aan een endpoint op api.vendor.tld om firmwares en krijgt een JSON met alle modellen, firmware versies en de lokatie waar die te downloaden. Vergelijkt zijn huidige versie en bied jou aan om de nieuwe te downloaden.
Tot mijn verbazing gebeuren zowel de api call als het downloaden van de firmware over http niet https. Bovendien bevatten de firmware files niets dat lijkt op een signature.

Ik had het idee dat je maar heel zwakke garanties hebt dat een dns naam altijd resolvt naar een ip van een server onder controle van de vendor. Misschien is DNS anno 2020 veiliger geworden?

Wat denken jullie? Is dit een vulnerability? Hoe ernstig?

Ik heb bewust niet vermeld om welke vendor het gaat. Zij die dit willen weten: pm.

dinsdag 18 augustus 2020 09:49

Acties:
  • redfox314
  • Registratie: December 2004
  • Laatst online: 07-11 14:35

redfox314

Topicstarter
niemand?

dinsdag 18 augustus 2020 10:01

Acties:
  • Orion84
  • Registratie: April 2002
  • Nu online

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Dat klinkt niet bepaald ideaal nee. Niet super simpel om aan te vallen, maar wel stukken makkelijker dan wanneer er https werd toegepast met specifieke beperkingen in welke certificaten vertrouwd worden.

Maar om een device naar een kwaadaardige download server te dirigeren moet je dus:
- dat domein kapen (tenzij de fabrikant zit te slapen en het laat verlopen is dat voor zover ik weet niet heel simpel)
- controle krijgen over de DNS server die de devices gebruiken / de devices een andere DNS server laten gebruiken
- inbreken op het HTTP verkeer zelf (waarschijnlijk alleen realistisch als iemand al in je thuisnetwerk ingebroken is (al dan niet middels malware)).

Dat kan bijvoorbeeld door consumentenrouters te kapen (of simpelweg toegang te kopen tot reeds gehackte routers) en daar met de DNS instellingen te rommelen. Of malware te verspreiden die op een of andere manier op je lokale LAN het DNS / HTTP verkeer probeert te kapen.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 18 augustus 2020 16:15

Acties:
  • redfox314
  • Registratie: December 2004
  • Laatst online: 07-11 14:35

redfox314

Topicstarter
In het dns pad hoef je waarschijnlijk maar een deel van het internet te overtuigen dat api.vendor.tld naar jou server wijst om een aantal devices prijs te hebben. Dat hoeft ook niet permanent te zijn.

Ik heb ondertussen hen gecontacteerd en zij vinden het onmogelijk.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq