샤오미 나인봇(Ninebot) mini PRO에서 다량의 보안취약점 발견!

2015년 4월, Ninebot은 샤오미 등 4개의 기업의 투자를 받았으며, 동시에 전기 스쿠터 업체인 segway 를 인수하였습니다. 그 후 Ninebot mini PRO이 정식으로 세계 시장에 출시하였습니다. 

그런데 최근 보안연구원들은 샤오미 나인봇 mini PRO에서 다량의 보안 취약점들을 발견하였습니다. 

보안 PIN 번호 우회 취약점

보안연구원들은 사용자의 PIN 번호 없이도 공격자가 사용자의 전동휠에 접속가능한 취약점을 발견하였습니다. 

조작된 Nordic UART 불루투스 연결 프로그램을 이용하면 어떠한 보안 PIN 번호 없이도 보안 매커니즘을 우회하여, 블루투스를 통하여 miniPRO와 성공적으로 연결이 가능합니다. 

Nordic에서 다음과 같은 Payload를 전송하는 것으로도, 공격자는 전동휠의 PIN 번호를 "111111"로 바꿀 수 있는 것입니다. 

unsigned char payload[13] =

{0x55, 0xAA, 0x08, 0x0A, 0x03, 0x17, 0x31, 0x31, 0x31, 0x31, 0x31, 0x31, 0xAD,0xFE}; // Set The Hoverboard Pin to “111111”

새로이 설정된 PIN번호 "111111"을 이용하여 공격자는 자신의 miniPRO 휴대폰 APP으로 직접 사용자의 전동 휠에 연결할 수 있습니다. 이때 새로운 PIN 번호로 연결이 된다면, 기존 전동휠 소유자가 설정해 놓았던 모든 기능들이 초기화 되게 됩니다. 

APP과 전동휠 간에 평문 통신 

보안전문가들은 miniPRO와 사용자(APP) 간의 통신이 모두 평문으로 이루어 지는 것을 확인하였습니다. 이는 즉, 전동휠과 사용자가 데이터를 주고받는 중간에서 만약 누군가가 데이터를 탈취한다면, 그 내용을 모두 확인할 수 있다는 뜻입니다. 

이러한 방법을 통하여 공격자는 PIN 번호를 알아낼 수도 있습니다. 

펌웨어 업데이트 무결성에 대한 보안검증 부재 

보안전문가들은 몇몇 악성 펌웨어를 이용하여 miniPRO에 업데이트를 시도해 보았는데, 이 과정에서 이 펌웨어에 대해 어떠한 보안성 및 무결성을 확인하는 매커니즘이 존재하지 않는다는 것을 확인하였습니다. 

이는 즉, 공격자는 악성 펌웨어 엄데이트를 통하여 보안 매커니즘을 우회하여 악성코드를 전동휠에 설치할 수 있게 된다는 뜻입니다.  또한 DNS 스푸핑을 이용하여 apptest.ninebot.cn의 A레코드를 변경하는 방식을 통하여 전동휠에 임의의 악성코드를 푸시할 수 있습니다. 

http://apptest.ninebot.cn 페이지 하위의 /appversion/appdownload/NinebotMini/version.json 파일을 수정한 후, 다음과 같이 악성 펌웨어의 버전과 크기내용을 ver 1.3.3.7, 크기는 50212바이트로 설정합니다. 

“CtrlVersionCode":["1337","50212"]

악성코드가 포함된 펌웨어 압축파일을 지정된 목록과 폴더에 생성합니다.

업데이트 후 재부팅 하면, 전동휠은 apptest.ninebot.cn에 연결하여 새로운 버전의 펌웨어를 내려받아 업데이트 할 것입니다. 

/appversion/appdownload/NinebotMini/v1.3.3.7/Mini_Driver_v1.3.3.7.zip

전동휠 GPS 정보 유출 취약점

miniPRO APP 중 “Rider Nearby” 기능이 있는데, 해당 기능은 전동휠 소유자의 휴대폰 GPS정보를 이용하여 보여주는 것입니다. 이 GPS 정보들이 매우 쉽게 공격자들에게 악용될 가능성이 있는 것으로 확인되었습니다. 

위와같은 취약점들과 관련하여 보안연구원들은 Ninebot에 알렸으며, 현재 업데이트 된 버전의 app 공개 및 취약점이 패치되었습니다. 

miniPRO 사용자들은 나인봇 홈페이지에 들어가 취약점이 패치된 버전으로 업데이트를 진행하시기를 권고 드립니다. 

출처 :

http://blog.ioactive.com/2017/07/multiple-critical-vulnerabilities-found.html