Udhëzimi i FBI për Pajisjet IoT: Si të Përcaktoni Nëse Jeni të Prekur

Më 5 qershor, FBI lëshoi një PSA titulluar “Lidhja e Pajisjeve të Internetit të Shtëpisë Lehtëson Aktivitetin Kriminal.” Ky PSA kryesisht referohet pajisjeve të prekuara nga gjenerata më e fundit e malware BADBOX (siç e emëroi ekipi i Inteligjencës së Kërcënimeve dhe Kërkimit Satori i HUMAN-it) që studiuesit e EFF-së gjithashtu hasën kryesisht në kutitë e televizorit Android. Megjithatë, malware ka prekur tableta, projektorë dixhitalë, njësitë e infotainment-it të automjeteve pas shitjes, korniza fotografike dhe lloje të tjera të pajisjeve IoT. 

Një qëllim i këtij malware është të krijojë një proxy rrjeti në pajisjet e blerësve të pa dyshimtë, duke i bërë ata qendra për aktivitete të ndryshme kriminale potenciale, duke i ekspozuar pronarët e këtyre pajisjeve ndaj autoriteteve. Ky malware është veçanërisht i rrezikshëm, duke ardhur paraprakisht i instaluar nga dyqanet kryesore online si Amazon dhe AliExpress. Nëse kërkoni “Kuti televizori Android” tani në Amazon, shumë prej modeleve të njëjta që janë prekur janë ende në shitje nga shitës me origjinë të paqartë. Facilitimi i shitjes së këtyre pajisjeve na çoi edhe në shkruani një letër të hapur drejt FTC-së, duke i inkurajuar ata të ndërmarrin veprime ndaj shitësve të rinj.

FBI-ja listoi disa tregues të komprometimit (IoC) në PSA që konsumatorët të mund të kuptojnë nëse janë prekur. Por njeriu mesatar nuk është duke drejtuar infrastrukturë të zbulimit të rrjetit në shtëpi, dhe nuk mund të shpresojë të kuptojë se cilat IoC mund të përdoren për të përcaktuar nëse pajisjet e tyre gjenerojnë “trafik interneti të pakuptueshëm ose të dyshimtë.” Këtu, do të përpiqemi të ofrojmë më shumë informacion të plotë rreth këtyre IoC-ve. Nëse gjen ndonjë prej tyre në pajisjet që zotëron, atëherë ju inkurajojmë të vazhdoni duke kontaktuar Qendrën e Ankesave të Krimit në Internet të FBI-së (IC3) në www.ic3.gov.

FBI-ja liston këto IoC:

• Prezenca e tregjeve të dyshimta ku shkarkohen aplikacionet.
• Kërkohet që të çaktivizohen cilësimet e Google Play Protect.
• Gjeneratorë të përgjithshëm të transmetimit televiziv të reklamuar si të hapur ose të aftë për të hyrë në përmbajtje të lirë.
• Gjeneratorë IoT të reklamuar nga marka të panjohura.
• Gjeneratorë Android që nuk janë të certifikuar nga Play Protect.
• Trafik i Internetit i pa shpjegueshëm ose i dyshimtë.

Vijimi shton kontekst për atë që është përmendur më sipër, si dhe disa IoC të shtuar që kemi parë nga hulumtimi ynë.

Certifikuar nga Play Protect

“Gjeneratorët Android që nuk janë të certifikuar nga Play Protect” i referohet çdo marke ose partneri të pajisjeve që nuk është i listuar këtu: https://www.android.com/certified/partners/. Google i nënshtrohet pajisjet testeve të përshtatshmërisë dhe sigurisë në kriteret e tyre për përfshirje në programin Play Protect, megjithatë kriteret e listës së përmendur nuk bëhen plotësisht të qarta jashtë Google. Por kjo listë ndryshon, siç pamë me markën e tabletit që hulumtuam duke u hequr nga lista. Kjo përfshin “pajisje të reklamuar nga marka të panjohura.” Lista përfshin gjithashtu marka ndërkombëtare dhe partnerë.

Sistemet operative të vjetruara

Problemet e tjera që pamë ishin versione shumë të vjetruara të Android. Për të ruajtur dokumentimin, Android 16 sapo është duke u lançuar. Android 9-12 duket të jenë versionet më të zakonshme që përdoren rregullisht. Kjo mund të jetë rezultat i “detyrave të kopjuara” nga ndërtimet e mëparshme të Android-it të ligjshëm, dhe shpesh vijnë me softuerin e tyre të përditësimit që mund të paraqesë një problem vetë dhe të ofrojë ngarkesa të dytë për infektimin e pajisjes përveç asaj që po shkarkohet dhe përditësohet në pajisje.

Ju mund të kontrolloni cilin version të Android-it keni duke shkuar te Cilësimet dhe duke kërkuar “versioni i Android”-it.

Marketet e Aplikacioneve Android

Ne kemi argumentuar më parë se si disponueshmëria e tregjeve të ndryshme të aplikacioneve çon në zgjedhje më të madhe për konsumatorët, ku përdoruesit mund të zgjedhin alternativa edhe më të sigurta se Google Play Store. Ndërsa kjo është e vërtetë, paralajmërimi i FBI-së për tregje të dyshimta është gjithashtu i kujdesshëm. Evitimi i “shkarkimit të aplikacioneve nga tregje jozyrtare që reklamojnë përmbajtje falas për transmetim” është një këshillë e arsyeshme (edhe nëse disi e paqartë) për kutitë e televizorit, megjithatë kjo rekomandim vjen pa udhëzime të mëtejshme mbi mënyrën se si të identifikohen tregjet që mund të jenë të dyshimta për platformat e tjera Android IoT. Praktika më e mirë është të hulumtoni çdo dyqan aplikacionesh që përdoret në pajisjet Android veç e veç, por të jeni të vetëdijshëm se nëse blihet një pajisje Android e dyshimtë, ajo mund të përmbajë dyqane aplikacionesh të parapërgatitura që imitojnë funksionalitetin e atyre legjitime, por gjithashtu përmbajnë kod të padëshiruar ose të dëmshëm.

Modelet e Listuara nga Raporti Badbox

Ne gjithashtu rekomandojmë të kërkoni emrat dhe modelet e pajisjeve që janë listuar në raportin BADBOX 2.0. Ne kemi hetuar modelet T95 së bashku me të tjera hulumtues të pavarur që fillimisht gjetën këtë malware të pranishëm. Shumë emra modelet mund të grupohen në familje me të njëjtat shkronja por numra të ndryshëm. Këto operacione po zhvillohen shpejt, por konventat e emërtimit shpesh janë të ngadaltë në këtë drejtim. Nëse nuk jeni të sigurt se cilin model keni, zakonisht mund ta gjeni të listuar në një etiketë diku në pajisje. Nëse kjo dështon, mund të jeni në gjendje ta gjeni duke shikuar faturën origjinale ose duke parë historikun e porosisë tuaj.

Një Shënim nga Hulumtuesit e Satori:

“Më poshtë është një listë e modeleve të pajisjeve të njohura se janë të synuara nga aktorët e kërcënimit. Jo të gjitha pajisjet e një modeli të dhënë janë domosdoshmërisht të infektuara, por hulumtuesit e Satori janë të bindur se infeksionet janë të pranishme në disa pajisje të modeleve të mëposhtme:”

Lista e Modeleve të Pothuajshme të Prekur

Fatkeqësisht, mënyra e vetme për të qenë i sigurt se një pajisje Android nga një markë e panjohur është e sigurt është të mos e blini fillimisht. Edhe pse iniciativa si U.S. Cyber Trust Mark janë zhvillime të mirëpritura që synojnë të inkurajojnë besimin në anën e kërkesës në produktet e verifikuara, trazirat e fundit në organet federale rregullatore do të thonë se e ardhmja e kësaj shenje sigurie është e panjohur. Kjo do të thotë se ata që përballen me kufizime buxhetore dhe kanë vështirësi në blerjen e produkteve dixhitale të nivelit të lartë për përmbajtje streaming ose qëllime të tjera të lidhura mund të mbështeten në produkte më të lira të imitimit që janë të mbushura jo vetëm me dobësi, por edhe me malware të parapërgatitur që nga dora e parë. Kjo i vendos këta njerëz në rrezik të konsiderueshëm ligjor kur këto pajisje përdoren për të siguruar lidhjen e internetit të shtëpisë së blerësve si një përfaqësues për qëllime të dëmshme ose të paligjshme.