Trend Micro: ‘IoT-berichtenprotocollen zijn slecht beveiligd’

Trend Micro stelt dat twee van de meestgebruikte machine-to-machine (M2M) protocollen grote ontwerpfouten hebben en regelmatig op een onveilige manier ingezet worden. Dat staat in het rapport The Fragility of Industrial IoT’s Data Backbone van het bedrijf, meldt The Next Web.

Het gaat specifiek om Message Queueing Telemetry Transport (MQTT) en Constrained Application Protocol (CoAP). De twee protocollen worden regelmatig gebruikt in IoT-apparaten, vooral die in industriële contexten. Volgens onderzoekers Federico Maggi en Rainer Vossler kunnen aanvallers met eenvoudige zoekopdrachten met keywords kwetsbare IoT-servers en -brokers lokaliseren. Vervolgens kunnen ze ruim 200 miljoen MQTT-berichten en 19 miljoen CoAP-berichten lekken.

Die berichten kunnen vervolgens misbruikt worden voor industriële spionage, DDoS-aanvallen en gerichte aanvallen. Trend Micro kon berichten vinden gerelateerd aan agricultuur en de gezondheidszorg. De onderzoekers vonden 4.310 berichten gerelateerd aan de agricultuur van slimme boerderijen. Andere data bevatte de precieze locatie van een ambulance en er was data van monitoring-apparaten die aan patiënten vastzitten, samen met hun e-mailadressen en locatie-informatie.

4.627.973 van de berichten die Trend Micro bemachtigde bevatten private IP-adressen. 219 daarvan hadden het onveilige wachtwoord ‘12345’.

Facebook Messenger

Hoewel MQTT veel gebruikt wordt binnen industriële IoT, stellen de onderzoekers dat het protocol ook regelmatig gebruikt wordt binnen tools voor groepen en berichten-apps. Eén van die apps is Facebook Messenger. Tijdens het onderzoek vond het bedrijf een kwetsbare instance van de Android-app Bizbox Alpha, dat 55.475 berichten lekte in vier maanden tijd. 18.000 daarvan waren e-mailberichten.

“Deze protocollen werden niet ontworpen met beveiliging in gedachten, maar worden gevonden en een groeiend aantal kritische omgevingen en use cases. Dit representeert een gigantisch beveiligingsrisico”, aldus Greg Young, vice-president van cybersecurity bij Trend Micro. “Hackers met zelfs bescheiden resources kunnen deze fouten en kwetsbaarheden exploiteren om verkenningen, geheime gegevensdiefstal en DDoS-aanvallen uit te voeren.”

In 2017 waren er naar schatting 8,4 miljard IoT-apparaten geïnstalleerd. Trend Micro raadt organisaties aan om alle onnodige M2M-diensten te verwijderen en bestaande apparaten te monitoren, om te verzekeren dat ze geen private data lekken.