Хакер #305. Многошаговые SQL-инъекции
Роботы дистанционного присутствия, они же роботы с эффектом присутствия (Telepresence Robot) – это мобильные устройства для конференций, которые позволяют удаленному пользователю присутствовать в офисе, учебном заведении или другом месте, имея возможность поддерживать диалог «лицом к лицу». Такие устройства часто описают как «планшет на палке», и такие роботы действительно популярны и востребованы во многих компаниях и организациях.
Исследователи Rapid7 сообщили, что устройства Double Robotics, как и многие другие IoT-гаджеты, подвержены сразу нескольким серьезным уязвимостям, в том числе проблеме, которая в теории позволяет атакующему полностью перехватить управление роботом.
Так, одна из найденных специалистами уязвимостей, позволяет неавторизованному атакующему получить доступ к информации об устройстве, включая координаты GPS, серийный номер, информацию о текущем и предыдущих «водителях» робота, данных сессий и так далее. Причем добиться всего этого можно, просто изменив один из параметров в адресе URL.
Вторая проблема связана со специальными токенами driver_token, которые создаются во время привязки робота к определенному аккаунту. Дело в том, что эти токены не имеют срока действия, никогда не меняются и не утрачивают силу. В итоге, если токен попадет в руки злоумышленника, тот сможет делать с устройством все, что пожелает.
Третья уязвимость заключается в том, что во время спаривания робота с мобильным приложением через Bluetooth пользователю не нужно знать PIN-код. То есть атакующий, вооружившийся мощной антенной, сможет без труда контролировать устройство с расстояния около километра.
Обо всех проблемах исследователи сообщили разработчикам Double Robotics еще в декабре 2016 года. В январе компания устранила первые две из вышеперечисленных уязвимостей, а вот спаривание через Bluetooth, по мнению разработчиков, не является проблемой. В компании считают, для осуществления атаки злоумышленник должен находиться достаточно близко, а также с роботом можно связать только одно устройство за раз, но не два одновременно.