Naukowcy z firmy Guardara, zajmującej się cyberbezpieczeństwem, odkryli wadę w NanoMQ, silniku przesyłania wiadomości MQ Telemetry Transport (MQTT) i wieloprotokołowej magistrali komunikatów do przetwarzania brzegowego, używanej do zbierania danych w czasie rzeczywistym ze smartwatchów, czujników samochodowych, czujników wykrywania pożaru i innych.

Ta sama technologia jest wykorzystywana do monitorowania parametrów zdrowia za pomocą czujników dla pacjentów opuszczających szpitale, a także czujników wykrywania ruchu, które mają zapobiegać kradzieży.

Zobacz również:

• 5G - rozwój jeszcze przed nami, 6G - tuż tuż, za rogiem
• 8 błędów strategii danych, których należy unikać

Jak tłumaczy w komunikacie Guardana, luka może mieć poważne konsekwencje dla podłączonych urządzeń Internetu rzeczy, które są zależne od NanoMQ.

Eksperci z firmy tłumaczą, że problem leży w długości pakietu MQTT. Ten protokół przesyłania wiadomości dla urządzeń IoT został zaprojektowany jako niezwykle lekki mechanizm do publikowania/subskrybowania wiadomości i łączenia urządzeń zdalnych z niewielkim śladem kodu i minimalną przepustowością sieci.

W momencie gdy długość pakietu MQTT zostaje zmanipulowana i jest niższa niż oczekiwano, operacja memcpy otrzymuje wartość rozmiaru, która powoduje, że lokalizacja bufora źródłowego wskazuje na lub do nieprzydzielonego obszaru pamięci. W rezultacie nanomq ulega awarii.

Zsolt Imre, założyciel i CTO w Guardara, tłumaczy że usterka może potencjalnie narazić na ryzyko miliony ludzi i spowodować ogromne straty finansowe. Sama luka została wykryta przy użyciu nowego narzędzia testowego, opracowanego przez wspomnianą firmę.

Po wykryciu luki Guardara powiadomiła EMQ o problemach, a firma zareagowała i naprawiła usterkę w ciągu jednego dnia.