Специалисты компании Bishop Fox провели необычное исследование и выявили несколько проблем безопасности в умных грилях Traeger, в которых установлен Traeger Grill D2 Wi-Fi Controller, позволяющий управлять грилем с помощью мобильного приложения.
Успешная эксплуатация багов поможет удаленному злоумышленнику выполнять на устройстве различные команды, в том числе изменять температуру или полностью отключать гриль.
Первая уязвимость касается API, отвечающего за регистрацию гриля. Специалисты Bishop Fox оценили ее на 7,1 балла, но она не имеет идентификатора CVE. Проблема классифицируется как недостаточный контроль авторизации (CWE-284).
Для эксплуатации уязвимости злоумышленнику сначала потребуется узнать уникальный 48-битный идентификатор гриля, что можно осуществить, перехватив сетевой трафик, пока пользователь пытается сопрячь свое устройство с приложением. По сути, чтобы узнать, когда именно это происходит, придется вести наблюдение за владельцем Traeger.
Также идентификатор можно узнать, отсканировав QR-код на наклейке, расположенной на самом устройстве, но в этом случае злоумышленник тоже должен находиться в непосредственной близости к уязвимому грилю.
Исследователи протестировали свой эксплоит на гриле одного из сотрудников, который не был доступен для них физически. Так, они получили токен для сопряжения из API Traeger после выполнения POST-запроса и зарегистрировали его в AWS IoT Cognito.
После этого специалисты получили возможность удаленно отправлять команды устройству из AWS-приложения. К примеру, они могли удаленно заставить гриль выключиться, а этот процесс может длиться 15-25 минут. Хотя безопасное отключение оборудования это не катастрофа, это вполне может испортить приготовление блюда, над которым владелец гриля трудился несколько часов.
Кроме того, с помощью этого бага можно удаленно поднять температуру и сжечь все продукты, находящиеся в гриле. Именно так исследователи Bishop Fox поступили с тофу на фото ниже, увеличив температуру до 500 градусов вместо рекомендуемых 165. Стоит ли говорить о том, что подобное уже может быть опасно не только для еды, которая в итое будет испорчена, но и с точки зрения пожарной безопасности.
Вторая, менее серьезная уязвимость (4,3 балла) была связана с тем, что с помощью короткого POST-запроса можно удаленно вынудить API GraphQL компании Traeger предоставить список всех грилей, зарегистрированных производителем. Ответ содержит различные подробности о каждом гриле, в том числе серийный номер, название и описание устройства, и так далее.
После предупреждения, полученного от экспертов, разработчики Traeger обновили прошивку устройств, и патчи были развернуты автоматически, без участия пользователей Кроме того, производитель вообще отключил функцию ListGrills, которая лежала в основе второй уязвимости.
