„Nemrég elemeztünk egy okos villanykörtét. Milyen gondot okozhat egy olyan égő, amely csupán a világítás színét és néhány egyéb világítással kapcsolatos beállítást képes megváltoztatni okostelefonon keresztül?
Nos, úgy láttuk, hogy a villanykörte memóriája tárol minden olyan információt, amihez már valaha csatlakozott, azaz wi-fi hálózatokhoz tartozó neveket és jelszavakat. Mindezt titkosítás nélkül. Más szóval, az IoT-k egyszerű biztonsági világában még egy villanykörte is veszélybe sodorhat bárkit.” – mondja Vladimir Dashchenko, a Kaspersky Lab ICS CERT részlegének sérülékenység kutatócsoportjának vezetője.
Hogy biztosítsa az okosotthonok és az IoT-k biztonságát, a Kaspersky Lab ingyenes alkalmazást kínál Androidos készülékekre a Kaspersky IoT Scannerrel.
A megoldás felderíti az otthoni wi-fi hálózatot, s tájékoztatja a felhasználót a hálózathoz csatlakoztatott eszközökről és azok biztonsági szintjéről.
Átvehető a teljes irányítás otthoni készülékek fölött
Amilyen óriási mértékben nő a népszerűsége a csatlakoztatott készülékeknek, úgy nő az igény a lakossági okos hubokra is.
A biztonsági cég sérülékenységet azonosított egy okos hubnál (hub = hálózati eszközök közös kapcsolódási pontja), amelynek feladata az otthonokban található összes hálózatra csatlakoztatott és telepített modulok és szenzorok kezelése.
Az elemzés kimutatta, hogy a támadók távolról hozzá tudnak férni a termék szerveréhez és onnan le tudják tölteni bármelyik felhasználó archivált privát adatait. Ezekkel az adatokkal át lehet venni a teljes irányítást a felhasználó fiókja és ezáltal az otthoni hálózat felett is.
Ez megkönnyíti az otthoni készülékek kezelését, és lehetővé teszi, hogy a felhasználó beállítsa és irányítsa azokat egy webes felületen vagy mobil alkalmazáson keresztül. Néhányuk még biztonsági rendszerként is szolgál. Ugyanakkor „egyesítő” szerepéből eredően a kiberbűnözők számára kívánatos célpont, amely feltörésével akár távoli támadásokat is indíthatnak.
Tavaly a Kaspersky Lab vizsgálata során kiderült egy okos otthoni készülékről, hogy hatalmas támadási felületet ad a kiberbűnözőknek a nagyon gyenge jelszógeneráló algoritmusának és nyitott portjainak köszönhetően.
Egy új vizsgálat során kiderült, hogy a biztonsági tervezés hiánya és a sérülékenységek miatt az okos készülékeken keresztül a bűnözőknek hozzáférésük lehet bárki otthonához.
Először is a kutatók felfedezték, hogy a hub elküldi a felhasználó adatait, amikor kommunikál a szerverrel, például a bejelentkező adatokat (felhasználó azonosító és a hozzá tartozó jelszó) épp azért, hogy be tudjon lépni a hub webes felületén. Továbbá olyan személyes információkat is listáznak itt, mint a felhasználó telefonszáma, hogy sürgős esetben értesíteni lehessen.
A távoli támadók letölthetik ezeket az adatokat úgy, hogy egy legitim kérést küldenek a szerver felé a készülék sorozatszámával. Az elemzés szerint a készülékek sorozatszámát könnyedén kideríthetik a bűnözők, mivel nagyon egyszerű módszerrel generálják azokat.
A szakértők szerint a sorszámok kideríthetők egy szimpla logikán alapuló módszerrel is, amelyet a szerver erősíthet meg: ha egy készülék regisztrálva van egy felhőalapú rendszerben, akkor a bűnözők megerősítő információkat fognak kapni. Ennek eredményeként be tudnak lépni a felhasználó fiókjába és a hubra csatlakoztatott összes szenzor és vezérlő beállításait kezelhetik.
Minden azonosított sérülékenységet jeleztek a gyártónak és most dolgoznak a helyreállításán.
Az alábbiakat javasolják a felhasználóknak:
-
Mindig használjanak komplex jelszavakat és ne felejtsék el rendszeresen megváltoztatni azokat.
-
Ellenőrizzék a legfrissebb információkat az észlelt és javított biztonsági résekről, amelyek általában naprakészen elérhetőek az interneten.
