Sonos Play: 1 er blant enhetene som er sårbare for DNS Rebinding-angrep.
Sonos Play: 1 er blant enhetene som er sårbare for DNS Rebinding-angrep. (Foto: Sonons)

DNS rebinding

Det er langt fra bare Google-enheter som kan angripes med DNS-triksing

I verste fall også bredbåndsruteren din.

Som digi.no omtalte tirsdag, er det mulig for uvedkommende få tilgang til enheter med Google Cast-støtte via nettleseren til en bruker som benytter en enhet i samme lokalnett som Cast-enheten. 

Dette kan i ytterste fall brukes til å finne posisjonen til Cast-enheten med ganske stor nøyaktighet. Nå har det kommet mer informasjon hvordan dette kan gjøres. Det er dessuten klart at Google Cast-enheter som Chromecast og Home ikke er de eneste enhetene som er sårbare den angrepsformen som ble beskrevet. 

Konseptbevis

I artikkelen på tirsdag siterte digi.no sikkerhetsforskeren Craig Young hos Tripwire. Men det har senere vist seg at den samme angrepsvektoren, som blant annet tar i bruk teknikken «DNS rebinding», ble oppdaget av amerikanske Brannon Dorsey enda tidligere.

I ettertid har Dorsey kommet med en artikkel hvor han går noe mer i detalj enn det Young gjorde. Blant annet har han publisert et konseptbevis, som leter opp berørte enheter i brukerens lokalnett. Og som vi kommer tilbake til, dreier det seg ikke bare om enheter med Cast-støtte.

Konseptbevis ser ut til å være ganske ressurskrevende. Vi opplever i alle fall at nettleseren ikke greier å laste andre websider mens konseptbeviset kjøres, fordi det ikke er noen tilgjengelig socket.  

Programmeringsgrensesnitt

Young beskrev ikke nøyaktig hvordan angriperen greier å finne posisjonen til Cast-enhetene, bortsett fra at det dreide seg om triangulering av signalene fra wifi-soner i nærheten av enheten. En fungerende løsning på dette vises i denne videoen

Nøyaktig hvordan den fungerer, er ikke oppgitt. Men noe av det som lenge har vært kjent, er hvordan man kan få Cast-enhetene til å liste wifi-sonene som finnes i nærheten. 

Det er nemlig slik at Cast-enhetene tilbyr et i utgangspunktet ikke-dokumentert REST API via nettverksporten 8008. Dette kan utnyttes på flere måter, for eksempel via en nettleser. 

Alt som skal til, er å besøke de aktuelle nettadressene fra en enhet som er i samme lokalnett som Cast-enheten. I tillegg må en vite IP-adressen til Cast-enheten. IP-adressen er blant annet oppgitt den tilknyttede Home-appen. 

Selv om API-et ikke er offentlig dokumentert fra Googles side, har deler av det vært kjent ganske lenge. En oversikt over noe av funksjonaliteten ble publisert i 2013, og en nyere og mer omfattende oversikt for Google Home finnes her.

Se wifi-sonene

Med nettadressen nedenfor får man for eksempel listet alle wifi-sonene i nærheten av Cast-enheten.

http://<IP-adressen til Cast-enheten>:8008/setup/scan_results

Med listen over wifi-soner kan man ifølge Dorsey bruke tjenester som Wigle.net til å finne ut hvor disse sonene hører hjemme. Men det forutsetter at sonene i det aktuelle området har blitt registrert relativt nylig. Det er langt fra alltid tilfellet. 

Saken fortsetter under bildet

Informasjon om wifi-soner i nærheten av journalistens Chromecast. Informasjonen omfatter signalstyrken til hver sone. Kun navnene på sonene er sladdet.
Utdrag av informasjon om wifi-soner i nærheten av journalistens Chromecast. Informasjonen omfatter signalstyrken til hver sone. Kun navnene på sonene (SSID-en) er sladdet. Skjermbilde: digi.no

Ikke bare Cast-enheter

Dorsey skriver i artikkelen at enheter med Google Cast-støtte på ingen måte er de eneste som kan utnyttes ved hjelp av «DNS rebinding»-angrep. Han har funnet tilsvarende svakheter ved enheter som Sonos WiFi-høyttalere, produktene Radio Thermostat CT50 og CT80, samt Roku TV.

Roku skal være i ferd med å rulle ut oppdateringer som fjerner disse svakhetene fra enhetene. Google og Sono ventes å gjøre det samme i juli.

Også bredbåndsrutere

I tillegg til de nevnte enhetene, kan mange bredbåndsrutere være sårbare for slike angrep, i alle fall dersom brukeren ikke har endret standardpassordet, eller dersom ruteren kjører en UPnP-server.

Begge deler er ganske vanlig.

Dorsey beskriver i artikkelen hvordan både utviklere av webløsninger og forbrukere kan sikre seg mot «DNS rebinding»-angrep. 

Blant annet anbefaler han OpenDNS Home, en gratis DNS-tjeneste fra Cisco for forbrukere, som kan settes opp til å blokkere DNS-responser som inneholder private IP-adresser.

Leste du denne? Cloudflare lanserer DNS-tjeneste som skal være verdens raskeste

Kommentarer (1)

Kommentarer (1)
Til toppen