Image
9.5.2018 0 Comments

VirusLab: Internet „inteligentných“ vecí je stále mimoriadne zraniteľný

V súčasnosti má množstvo novej elektroniky označenie smart. Nehovoríme pritom len o mobilných telefónoch, chladničkách, práčkach či televízoroch. V ponuke sú už aj také bizarnosti ako smart kefy na vlasy, smart vidličky či smart matrace, ktoré majiteľa upozornia, ak ich niekto používa „pochybným spôsobom“. Pod týmto slovíčkom sa pritom neukrýva žiadna umelá inteligencia ani strojové učenie, len obyčajné pripojenie na internet a s ním spojené online služby. To, čo znie ako výhoda, sa však razom môže zmeniť na riziko. Potvrdzuje to aj aktuálny výskum ESETu, v ktorom experti testujú bezpečnosť dvadsiatky smart zariadení a narazili pri nich už na niekoľko vážnych zraniteľností. Experiment sa zameriava najmä na centrálne stanice, ktoré riadia celú domácnosť alebo jej väčšie celky. Nechýbali však ani periférne zariadenia, ako sú inteligentné kamery, internetové rádiá, senzory, žiarovky či zásuvky ovládateľné na diaľku cez internet.

Niektoré z týchto prístrojov mali menšie nedostatky, keď bez pripojenia na internet nefungovali alebo ich nevydarená aktualizácia firmvéru zmenila na ťažidlo – no nič z toho nesúviselo s bezpečnosťou. Potom však prišli na rad skutočné čierne ovce internetu vecí (IoT alebo Internet of Things). Viaceré z nich totiž nepoužívali šifrovanie, a to ani na skutočne citlivé aktivity. Ak výrobca zariadenia nešifruje update firmvéru a neoverí si ani jeho pôvod, môže útočník aktualizáciu pokojne nahradiť vlastnou a pridať k nej škodlivý kód. V prípade, že by išlo o backdoor, získa tým úplnú kontrolu nad centrálnou stanicou, jej periférnymi zariadeniami a aj prístup do domácej siete obete. Odborníci ESETu viackrát narazili aj na nechránené citlivé dáta. Tie si zariadenia ukladali v nezašifrovanej (plaintext) podobe priamo do svojej databázy. Dôsledky si asi čitateľ vie domyslieť. Ak je takýto prístroj dostupný na internete bez ochrany, môžu tieto údaje ľahko skončiť v nesprávnych rukách.

Zaujímavý bol aj výsledok experimentovania s jednou zo smart kamier. Tá vysielala video a audio stream v nezašifrovanej podobe. Keby ich útočník dokázal zachytiť, môže si kompletne vyskladať nahrávku, ktorú kamera vysiela z obývačky či dvora jej majiteľa. Chyba však nie je vždy len na strane výrobcu. Niekedy sa riziku vystavujú sami používatelia, a to dobrovoľne alebo z nevedomosti. Pri inštalácii jedného zo spomínaných centrálnych zariadení totiž výrobca upozorňuje, aby si nenastavovali tzv. port forwarding, ktorým môžu obísť domáci router a prístroj tak vystaviť priamo do verejnej siete. Napriek varovaniu (a takisto faktu, že firma ponúka vlastný zabezpečený cloud) ESET našiel online tisícky takýchto zariadení. Prečo je to všetko dôležité? Ak má akákoľvek centrálna stanica podobnú zraniteľnosť, útočník dokáže ovládnuť všetky zariadenia, ktoré sú k nej pripojené. Ak sú medzi nimi zámky na dverách, garážová brána či elektroinštalácia, môže heker odomykať dvere, vypínať elektrinu, kúrenie či inak škodiť majiteľom. A keby aj zločinec nechcel inteligentný dom ovládnuť, stále dokáže ukradnúť dáta obete, vysledovať, ako si svoj príbytok zariadila, kedy sa v ňom zdržiava, a zistiť jej každodenné návyky.

Na druhej strane musíme povedať, že zabezpečenie internetu vecí sa v posledných rokoch o niečo zlepšilo. Výrobcovia častejšie používajú šifrovanie a snažia sa zariadenia a ich komunikáciu chrániť pred možnými útokmi. Ako však ukazuje náš experiment, nie vždy úspešne. Používatelia by preto mali byť mimoriadne opatrní pri výbere inteligentných zariadení do svojej domácnosti, nešetriť za každú cenu a dbať na to, aby používali aktualizovaný firmvér a vyhli sa heslám prednastaveným z výroby.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 2

Prieskum: Aká je pripravenosť bánk a technologických spoločnosti v otvorenom bankovníctve?

18.10.2019 00:00

Smernica PSD2 - známa aj pod označením otvorené bankovníctvo - zavádza bezpečnostné opatrenia nielen pre banky, ale aj pre technologické spoločnosti, ktoré spracovávajú dáta o zákazníkoch. Prieskum p ...

Bezpečnosť

Tile ponúka nové sledovače na peňaženku, bicykel či notebook

10.10.2019 00:02

Spoločnosť Tile, známa svojimi sledovacími príveskami na kľúče a batožinu, má ambície sledovať aj viac vecí. Jej nové zariadenie Tile Slim vo veľkosti kreditnej karty je určené na sledovanie peňaženk ...

Bezpečnosť 3

Čínska sonická zbraň využíva infrazvuk na potlačenie vzbúr a demonštrácií

03.10.2019 00:05

Nová zbraň, ktorú vynašli čínski vedci, využíva nízkofrekvenčné zvukové vlny, ktoré spôsobujú fyzické ťažkosti. Možno ňou prinútiť vzbúrencov, demonštrantov alebo kohokoľvek iného opustiť danú oblasť. ...

Žiadne komentáre

Vyhľadávanie

ITAPA_2019

Najnovšie videá

SlovakiaTech 2019
MANDAYIT 2019