Új internetes veszélyforrások: kávéfőző, babakamera

A cég közleményben számolt be egy érdekes kísérletükről. Tavaly a Kaspersky Lab biztonsági szakértője, David Jacoby körülnézett a nappalijában, és úgy döntött, megvizsgálja, hogy mennyire sebezhetőek az okos eszközei. Megállapította, hogy szinte mindegyik az.

Ezt követően 2015-ben a Kaspersky Lab szakértői csoportja megismételte a kísérletet egy kis változtatással: míg Jacoby kutatása többnyire a hálózati tárolókra, routerekre és okos televíziókra irányultak, addig a legutóbbi kutatás az intelligens otthoni eszközök piacán elérhető legkülönfélébb, internetre csatlakozó eszközöket vette górcső alá.

Hétköznapi eszközök

A kísérlethez a következő eszközöket választották: egy videóstreamingre használt USB-kulcs, egy okostelefon által vezérelt IP-kamera (babakamera), egy okostelefon által vezérelt kávéfőző, illetve egy okostelefon által vezérelt otthoni biztonsági rendszer. A vizsgálat során felfedezték, hogy szinte az összes ilyen eszköz tartalmaz biztonsági réseket.

Hirdetés

A vizsgált babamonitor kamera engedélyezte egy hackernek – aki ugyanazt a hálózatot használta, mint a kamera tulajdonosa –, hogy csatlakozzon a kamerához, megnézhesse az általa szolgáltatott videót, és elindítsa rajta a hangfelvételt. Ugyanezen gyártó más kamerái engedélyezték a hackereknek, hogy összegyűjtsék a tulajdonos jelszavait. A kísérlet azt is megállapította, hogy ha a hacker ugyanazon a hálózaton van, képes letölteni a root jelszót a kamerából, és módosíthatja a kamera firmware-ét.

Az alkalmazás által vezérelt kávéfőzők esetében nem szükséges, hogy a támadó ugyanazon a hálózaton legyen, mint az áldozat. Megvizsgálták a kávéfőzőt a kísérlet során, és kiderült, hogy elég titkosítás nélküli információt küldött a támadónak ahhoz, hogy az kiderítse a jelszót a kávéfőző tulajdonosának Wi-Fi hálózatához.

Amikor a Kaspersky Lab kutatói megvizsgáltak egy okostelefon által vezérelt otthoni biztonsági rendszert, megállapították, hogy annak szoftverében csupán kis problémák vannak, és elég biztonságos ahhoz, hogy ellenálljon egy kibertámadásnak – ám a sérülékenység a rendszer által használt egyik érzékelőben volt.

Kaspersky Lab - IoT-sebezhetőségek
[+]

Az egyik szenzor, amely arra szolgál, hogy bekapcsolja a riasztást, amikor egy ajtót vagy ablakot kinyitnak, az ajtóra vagy ablakra szerelt mágnes által kibocsátott mágneses teret érzékeli. Amikor az ajtót vagy az ablakot kinyitják, a mágneses mező eltűnik, melynek hatására az érzékelő riasztást küld a rendszernek. Ám ha a mágneses tér a helyén marad, akkor a riasztás elmarad. Ezért a Kaspersky Lab kutatói egy egyszerű mágnessel tudták helyettesíteni az ablakon található mágnes mágneses mezejét. Ez azt jelentette, hogy ki tudták nyitni és be tudták csukni az ablakot a riasztó bekapcsolódása nélkül. Ezzel a sebezhetőséggel az az óriási baj, hogy lehetetlen megjavítani egy szoftverfrissítéssel, a probléma az otthoni biztonsági rendszer kialakításában rejlik. Mi több, különös aggodalomra adhat okot az, hogy sok otthoni biztonsági rendszer használ a mágneses mezőt érzékelő szenzorokat.

„Kísérletünk megmutatta, hogy a gyártók már figyelembe veszik a kiberbiztonsági szempontokat IoT-eszközeik fejlesztésekor. Ennek ellenére minden általunk vizsgált, alkalmazásvezérelt eszközben legalább egy biztonsági rést találtunk. A bűnözők sok ilyen sebezhetőséget kihasználhatnak, ezért is olyan fontos a gyártók számára, hogy minden hibát kijavítsanak, még azokat is, amelyek nem kritikusak. Ezeket a sebezhetőségeket még a piacra kerülés előtt ki kell javítani, mert sokkal nehezebb lesz a javítás, amikor az eszköz már több ezer lakásban működik.” – kommentálta az eredményeket Viktor Aljusin, a Kaspersky Lab biztonsági kutatója.

Tanácsok

Annak érdekében, hogy segítsék a felhasználókat megvédeni az intelligens otthoni készülékekkel járó kockázatoktól, a Kaspersky Lab kutatói azt tanácsolják, hogy kövessék az alábbi néhány egyszerű szabályt:

  • mielőtt bármilyen intelligens otthoni eszközt vásárolna, keressen az interneten híreket az eszköz sebezhetőségéről. Az IoT egy nagyon aktuális téma és rengeteg kutató végez komoly háttérmunkát annak érdekében, hogy az ilyen jellegű biztonsági kérdésekre megoldást találjon a legkülönfélébb eszközök esetében, kezdve a babamonitoroktól egészen az alkalmazás által vezérelt fegyverekig. Nagyon is lehetséges, hogy a készülék, amelyet meg szeretne vásárolni, korábban már átesett biztonsági kutatók vizsgálatán, és a készülékkel kapcsolatos problémákra már találtak megoldást
  • nem mindig jó ötlet megvásárolni a legújabb termékeket. Az általános hibák mellett a nemrég piacra dobott eszközök tartalmazhatnak biztonsági hiányosságokat is, amelyeket még nem fedeztek fel a biztonsági kutatók. A legjobb olyan termékeket vásárolni, amelyek már több szoftverfrissítést megéltek
  • amikor a vásárló eldönti, hogy az élete melyik területét teszi egy kicsit „okosabbá”, mindig mérlegelje a biztonsági kockázatokat. Ha az otthona olyan hely, ahol rengeteg dolgot és anyagi értéket tárol, akkor valószínűleg jó ötlet lehet, hogy egy profi riasztórendszert válasszon, amely kiválthatja vagy kiegészítheti a meglévő, alkalmazás által vezérelt otthoni riasztó rendszerét, vagy konfigurálja úgy meglévő rendszerét, hogy semmilyen lehetséges sebezhetőség ne befolyásolhassa annak működését. Amikor kiválaszt egy eszközt, amely adatokat fog gyűjteni az róla és családja személyes életéről, például egy babamonitort, érdemes lehet a legegyszerűbb RF modellt választani, amely csak audiojelet képes továbbítani, internetkapcsol

Azóta történt

Előzmények