Az okos villanykörte is veszélyforrás

A Kaspersky Lab sérülékenységet azonosított egy okos hubnál, amelynek feladata az otthonokban található összes hálózatra csatlakoztatott és telepített modul és szenzor kezelése.

Írta: IT café
Forrás: Kaspersky Lab
2018-02-27 15:57

Tavaly a Kaspersky Lab vizsgálata során kiderült egy okos otthoni készülékről, hogy hatalmas támadási felületet ad a kiberbűnözőknek a nagyon gyenge jelszógeneráló algoritmusának és nyitott portjainak köszönhetően. És most egy új vizsgálat során újra kiderült, hogy a biztonsági tervezés hiánya és a sérülékenységek miatt az okos készülékeken keresztül a bűnözőknek hozzáférésük lehet bárki otthonához.

Hirdetés

Először is: a kutatók felfedezték, hogy a megvizsgált okos hub elküldi a felhasználó adatait, amikor kommunikál a szerverrel, például a bejelentkező adatokat (felhasználói azonosító és a hozzá tartozó jelszó) épp azért, hogy be tudjon lépni a hub webes felületén. Továbbá olyan személyes információkat is listáznak itt, mint a felhasználó telefonszáma, hogy sürgős esetben értesíteni lehessen. A távoli támadók letölthetik ezeket az adatokat úgy, hogy egy legitim kérést küldenek a szerver felé a készülék sorozatszámával. Az elemzés szerint a készülékek sorozatszámát könnyedén kideríthetik a bűnözők, mivel nagyon egyszerű módszerrel generálják azokat.

A szakértők szerint a sorszámok kideríthetők egy szimpla logikán alapuló módszerrel is, amelyet a szerver erősíthet meg: ha egy készülék regisztrálva van egy felhőalapú rendszerben, akkor a bűnözők megerősítő információkat fognak kapni. Ennek eredményeként be tudnak lépni a felhasználó fiókjába, és a hubra csatlakoztatott összes szenzor és vezérlő beállításait kezelhetik.

A kutatók minden azonosított sérülékenységet jeleztek a gyártónak, és most dolgoznak a helyreállításán.

„Annak ellenére, hogy az IoT-k a kiberbiztonsági kutatók fókuszában vannak évek óta, még mindig nem biztosított a biztonságuk. Véletlenszerűen választottuk ki ezt a hubot, és a tény, hogy sérülékeny, sajnos nem számít kivételnek az IoT-k világában. A jelen technológiai állás szerint úgy tűnik: szó szerint minden internetre csatlakoztatott készüléknek, még a nagyon egyszerűeknek is, biztonsági problémáik vannak. Például nemrég elemeztünk egy okos villanykörtét. Milyen gondot okozhat egy olyan égő, amely csupán a világítás színét és néhány egyéb világítással kapcsolatos beállítást képes megváltoztatni okostelefonon keresztül? Nos, úgy láttuk, hogy a villanykörte memóriája tárol minden olyan információt, amihez már valaha csatlakozott, azaz Wi-Fi hálózatokhoz tartozó neveket és jelszavakat. Mindezt titkosítás nélkül. Más szóval, az IoT-k egyszerű biztonsági világában még egy egyszerű villanykörte is veszélybe sodorhat bárkit” – mondta el Vlagyimir Dascsenko, a Kaspersky Lab ICS CERT részlegének sérülékenységi kutatócsoportjának vezetője.

Hozzászólások (12)

Kapcsolódó cégek:
Kaspersky

Előzmények

Hozzáférhető a Microsoft IoT-platformja

Az ígéret szerint olyan átfogó, minden részletre kiterjedő szolgáltatásról van szó, mely jelentősen megkönnyíti az IoT-eszközök menedzselését.

M2M 2017-12-06 9
A Dell bejelentette új IoT-stratégiáját, divízióját és megoldásait

A Dell Technologies a következő három évben egy milliárd dollárt fektet IoT kutatás-fejlesztésbe, az „Distributed Core” számítási modell az új stratégia alapja.

M2M 2017-10-12 6
Piszok sok pénzt rak az IoT hálózatba a China Mobile

A magyar költségvetés közel tizedét költik el két év alatt az infrastruktúra fejlesztésére, 400 ezer új torony és 1,1 millió antenna létesítése történik meg.

M2M 2017-08-08 3
A Samsung energiatakarékos technológia bevezetésével adna lökést az IoT piacnak

A vállalat az energiahatékony működést lehetővé tevő NB-IoT technológia kereskedelmi célú bevezetésétől új területek megnyílását, és új felhasználók felbukkanását várja.

M2M 2017-02-28 2