forrás: hirado.hu
Miután véletlenszerűen kiválasztottak és megvizsgáltak néhány tökéletesen ártatlannak tűnő eszközt, súlyos biztonsági hézagokat találtak a kutatók.
Véletlenszerűen kiválasztottak pár új IoT eszközt, és elképesztő jelenségeket fedeztek fel. Például egy kávéfőzőt, amely megjegyzi a háztulajdonos wifijelszavát, meg a babamonitort, amelyet egy rosszindulatú harmadik fél irányíthat, továbbá az okostelefon által vezérelt otthoni biztonsági rendszert, amelyet simán meg lehet zavarni egy mágnessel.
Tavaly a Kaspersky Lab biztonsági szakértője, David Jacoby körülnézett a nappalijában, és úgy döntött, megvizsgálja, sebezhetőek-e az okoseszközei. Megállapította, hogy szinte mindegyik az. Most a Kaspersky Lab szakértői csoportja megismételte a kísérletet egy kis változtatással: míg David kutatása többnyire a hálózati tárolókra, routerekre és okostelevíziókra irányult, addig a legutóbbi kutatás az intelligens otthoni eszközök piacán elérhető legkülönfélébb, internetre csatlakozó eszközöket vette górcső alá.
A kísérlethez a következő eszközöket választották: egy videostreamingre használt USB-kulcsot, egy okostelefon által vezérelt IP-kamerát (magyarul: babakamerát), egy okostelefon által vezérelt kávéfőzőt és egy okostelefon által vezérelt otthoni biztonsági rendszert. Kiderült, hogy szinte az összes eszköz tartalmaz biztonsági réseket.
A vizsgált babamonitor kamera engedélyezte egy hackernek – aki ugyanazt a hálózatot használta, mint a kamera tulajdonosa –, hogy csatlakozzon a kamerához, megnézhesse az általa szolgáltatott videót, és elindítsa rajta a hangfelvételt. Ugyanez a gyártó más kamerái engedélyezték a hackereknek, hogy összegyűjtsék a tulajdonos jelszavait. A kísérlet azt is megállapította, hogy ha a hacker ugyanazon a hálózaton van, képes letölteni a rootjelszót a kamerából, és szándékosan módosíthatja a kamera firmware-jét.
Az alkalmazás által vezérelt kávéfőzők esetében nem szükséges, hogy a támadó ugyanazon a hálózaton legyen, mint az áldozat. Megvizsgálták a kávéfőzőt a kísérlet során, és kiderült, elegendő titkosítás nélküli információt küldött a támadónak ahhoz, hogy az kiderítse a jelszót a kávéfőző tulajdonosának wifihálózatához.
Amikor megvizsgáltak egy okostelefon által vezérelt otthoni biztonsági rendszert, megállapították, szoftverjében csupán kis problémák vannak, és elég biztonságos ahhoz, hogy ellenálljon egy kibertámadásnak. A sérülékenység éppenséggel a rendszer által használt egyik érzékelőben volt.
Az egyik szenzor, amely arra szolgál, hogy bekapcsolja a riasztást, amikor egy ajtót vagy ablakot kinyitnak, az ajtóra vagy ablakra szerelt mágnes által kibocsátott mágneses teret érzékeli. Az ajtót vagy az ablakot kinyitják, a mágneses mező eltűnik, melynek hatására az érzékelő riasztást küld a rendszernek. Ámde ha a mágneses tér „a helyén marad”, akkor a riasztás elmarad.
Az otthoni biztonsági rendszer vizsgálata során a kutatók egy egyszerű mágnessel tudták helyettesíteni az ablakon található mágnes mágneses mezejét. Ez azt jelentette, hogy ki tudták nyitni és be tudták csukni az ablakot a riasztó bekapcsolódása nélkül. Ezzel a sebezhetőséggel az az óriási baj, hogy lehetetlen megjavítani egy szoftverfrissítéssel, a probléma az otthoni biztonsági rendszer kialakításában rejlik. Mi több, különös aggodalomra adhat okot az, hogy sok otthoni biztonsági rendszer használ a mágneses mezőt érzékelő szenzorokat.
“Kísérletünk megmutatta, hogy a gyártók már figyelembe veszik a kiberbiztonsági szempontokat IoT-eszközeik fejlesztésekor. Ennek ellenére minden általunk vizsgált, alkalmazásvezérelt eszközben legalább egy biztonsági rést találtunk. A bűnözők sok ilyen sebezhetőséget kihasználhatnak, ezért is olyan fontos a gyártóknak, hogy minden hibát kijavítsanak, még azokat is, amelyek nem kritikusak. Ezeket a sebezhetőségeket még a piacra kerülés előtt ki kell javítani, mert sokkal nehezebb lesz a javítás, amikor az eszköz már több ezer lakásban működik” – mondta Victor Alyushin, a Kaspersky Lab biztonsági kutatója.
Néhány egyszerű szabály
- Mielőtt bármilyen intelligens otthoni eszközt vásárolna, keressen az interneten híreket az eszköz sebezhetőségéről. Az IoT nagyon aktuális téma, és rengeteg kutató végez komoly háttérmunkát azzal a céllal, hogy az ilyen jellegű biztonsági kérdésekre megoldást találjon a legkülönfélébb eszközök esetében, kezdve a babamonitoroktól egészen az alkalmazás által vezérelt fegyverekig. Nagyon is lehetséges, hogy a készülék, amelyet meg szeretne vásárolni, korábban már átesett biztonsági kutatók vizsgálatán, és a készülékkel kapcsolatos problémákra találtak megoldást.
- Nem mindig jó ötlet megvásárolni a legújabb termékeket. Az általános hibák mellett a nemrég piacra dobott eszközök tartalmazhatnak biztonsági hiányosságokat is, amelyeket még nem fedeztek fel a biztonsági kutatók. A legjobb olyan termékeket vásárolni, amelyek már több szoftverfrissítést megéltek.
- Amikor eldönti, hogy az élete melyik területét teszi egy kicsit „okosabbá”, mindig mérlegelje a biztonsági kockázatokat. Ha az otthona olyan hely, ahol rengeteg dolgot és anyagi értéket tárol, akkor valószínűleg jó ötlet profi riasztórendszert választani, amely kiválthatja vagy kiegészítheti a meglévő, alkalmazás által vezérelt otthoni riasztórendszerét vagy konfigurálja úgy meglévő rendszerét, hogy semmilyen lehetséges sebezhetőség ne befolyásolhassa annak működését. Amikor kiválaszt egy eszközt, amely adatokat fog gyűjteni az ön és családja személyes életéről, például egy babamonitort, érdemes lehet a legegyszerűbb RF-modellt választani, amely csak audiojelet képes továbbítani, internetkapcsolat nélkül. Ha ez nem lehetséges, akkor kövesse az első tanácsunkat!