Parchan robots con telepresencia contra filtrado de información

14/03/2017

Robots de telepresencia de Double Robotics, ofrecidos como herramientas de conferencias móviles para que los trabajadores tengan presencia física en una oficina de forma remota, fueron recientemente parchados contra vulnerabilidades que podrían ser explotadas por un atacante.

Investigadores de Rapid7 liberaron detalles sobre tres vulnerabilidades en estos robots, dos de las cuales fueron reparadas a mediados de enero; el fabricante decidió no parchar la vulnerabilidad restante.

Los robots son mejor descritos como un Segway recortado que lleva consigo un iPad que puede ser usado para transmisión de video remoto, dando una comunicación cara a cara entre colegas; el teleconmutador puede conducir remotamente el robot por la oficina. El dispositivo pesa menos de 20 libras y el iPad puede ser sostenido hasta a cinco pies del piso.

Deral Heiland, investigador lider en Rapid7, compartió en privado las vulnerabilidades con Double Robotics el 9 de enero de este año, y tan solo siete días después el frabricante liberó los parches accesibles desde la API de la nube de la compañía. Un atacante con acceso físico con acceso al dispositivo podría explotar estas vulnerabilidades, capturando información de los dispositivos y posiblemente controlandolos remotamente.

Heiland dijo que una vulnerabilidad le permitía acceder a información del dispositivo, incluyendo números de serie, llaves de instalación y coordenadas GPS. Incrementando el número de offset en la URL de la API, Heiland podía enumerar información historica y de la sesión actual, así como llaves de instalación del dispositivo y del usuario.

Otro problema que se encontró fue que los tokens estáticos de usuarios que podrían ser accesados por un atacante local o por un ataque hombre en el medio. Un exploit exitoso podría permitir a un atacante tomar la llave del robot del iPad, los cuales podrían ser usados para enumerar los tokens de acceso de los usuarios para habilitar el control remoto del robot.

Ambas vulnerabilidades fueron solucionadas del lado del servidor el 16 de enero, de acuerdo a Heiland.

"Antes de que los parches fueran implementados, ninguna llamada fue comprometida y no fueron expuestos datos sensibles de los usuarios", explicó David Cann, coofundador y CEO de Double Robotics. "Además, Double Robotics utiliza cifrado de datos de punto a punto con WebRTC para baja latencia y videollamadas seguras".

La segunda vulnerabilidad podría ser explotada para saber más sobre tokens para todos los usuarios que tuvieran permitido controlar el robot de manera remota, agregó.

"El token siempre exite y nunca cambia", dijo Heiland. "El token trabaja siempre como una llave de sesión. Se podría controlar desde cualquier lado una vez que ha sido comprometido. Se tiene una UUID compleja, así que realmente no se puede adivinar, se tiene que comprometer, pero una vez que se hace, se tiene el control sobre el robot".

Heiland explicó que los dos parches requerían, para el primero, cambiar la API de tal forma que no pudiera hacer consultas arbitrarias a todas la sesiones y, para la segunda, cambiar la llave del robot de tal forma que cuando fuera requerida por la API no se regresaran los tokens del usuario conductor.

La tercera vulnerabilidad se trataba de un proceso de emparejamiento Bluetooth débil e inseguro entre el iPad, encargado de conmtrolar al robot  y el robot. Heiland mencionó que en algunos casos cuando la unidad de control era apagada y no existía más emparejamiento con la base, cualquiera en el rango del Bluetooth podía realizar el emparejamiento sin necesidad de contar con el token. Double Robotics decidió que esta vulnerabilidad no era significativa y decidió no parcharla. En cambio, sugirió asegurarse de que la unidad completa se encuentre apagada.

Heiland dijo que los problemas más serios filtraban datos críticos, incluyendo información de longitud y latitud el cual, al emparejarse con la información del dispositivo, podría ser utilizado para mapear dispositivos de la organización. Emparejar la información con las llaves filtradas podrían poner el riesgo al negocio.

"Desde un punto de vista del atacante, es mucha información expuesta", explicó Heiland. "Si trabajara en una oficina con acceso a un robot y tuviera su información, nada podría detenerme de obtener acceso, tomar el robot, conducir alrededor y ser capaz de ver video y audio".

"Dimos aviso sobre esto demasiado pronto y el fabricante respondió realmente rápido y fue responsivo con la reparación", dijo Heiland. "Desde un punto de vista de riesgos, si no se tiene acceso al robot, el riesgo es mínimo para el negocio. Con acceso físico, el riesgo podría aumentar. No costaría mucho trabajo adecuar todo esto, ver cómo se realiza la comunicación, capturar información y discernir de los problemas asociados a esto".