Vírusový radar: Zraniteľné smart zariadenia môžu predstavovať hrozbu. Staráte sa o ne?

Kyberpriestor
0
Pandémia prinútila mnohé firmy prejsť na celozávodný home office. To pritom otvára nové možnosti pre útočníkov, najmä preto, že ľudia v domácnostiach častejšie používajú slabo zabezpečený a zraniteľný hardvér. Príkladom sú neaktualizované počítače, mobily, ale aj routery či smart zariadenia z kategórie internetu vecí (IoT). Tie totiž používatelia bežne po nákupe pripoja do siete a na ich údržbu zabudnú.

Zraniteľnosti v „inteligentných“ zariadeniach pritom nie sú vôbec také ojedinelé, ako by sa na prvý pohľad mohlo zdať – práve naopak, čo dokazuje aj výskum ESETu. Naši analytici si už dávnejšie posvietili na tri centrálne jednotky, ktoré slúžia na ovládanie teploty, osvetlenia, bezpečnostných kamier a elektrospotrebičov v smart domácnosti alebo v smart firemnom prostredí.

Experti ESETu testovali Fibaro Home Center Lite, eLAN-RF-003 a HomeMatic Central Control Unit (CCU2), pričom vo všetkých našli vážne zraniteľnosti. Tieto zariadenia sú aj v súčasnosti dostupné v lokálnych obchodoch, no už so zlepšeným firmvérom, kde sa mnohé z nájdených chýb odstránili.

Čo by teda útočníci dokázali zneužitím nájdených zraniteľností?

Fibaro Home Center Lite obsahovalo mix závažných zraniteľností, pričom ich kombinácia umožňovala útočníkom vytvoriť backdoor a získať tak úplnú kontrolu nad zariadením.

Smart home centrála eLAN-RF-003 nevyžadovala dostatočnú autentifikáciu – na manipuláciu s pripojenými domácimi alebo firemnými zariadeniami teda nevyžadovala prihlásenie používateľa menom, heslom či iným spôsobom. Bola takisto zraniteľná na tzv. Record and Replay útok, ktorým možno ovládať aj iné zariadenia v domácnosti.

Homematic CCU2 zase obsahovalo chyby umožňujúce tzv. Remote Code Execution útok (RCE), teda spustenie vybraného kódu na diaľku. Táto chyba dávala útočníkom možnosť spustiť na zariadení nimi vytvorený kód a získať tak napríklad prístup k centrálnej jednotke aj všetkým zariadeniam, ktoré k nemu boli v sieti pripojené.

IoT výskum ESETu ukazuje, že nevhodné nastavenia z výroby, slabé či absentujúce šifrovanie alebo problémy s autentifikáciou používateľa pritom nie sú problémy len lacných alebo nekvalitných zariadení, ale objavujú sa aj v kvalitnom hardvéri. A problémom sú neraz aj samotní používatelia, ktorí si často nezmenia heslo z výroby alebo ho nahradia ľahko uhádnuteľnou alternatívou, prípadne uprednostňujú nastavenia ovládania na diaľku, ktoré idú na úkor bezpečnosti.

Väčšinu odhalených chýb v prípade týchto zariadení sa podarilo opraviť už v čase ich objavenia v roku 2018, niektoré však pre obmedzenia hardvéru v prípade starších generácií testovaných zariadení zostávajú aj dnes funkčné. Aj z tohto dôvodu spoločnosť ESET odporúča majiteľom týchto zariadení stiahnuť si najnovšie aktualizácie firmvéru zo stránok výrobcov zariadení alebo rovno siahnuť po novších modeloch.

Podobné odporúčania platia aj pre po­užívateľov iných centrálnych jednotiek smart home, a to najmä v oblasti aktualizácií. Tie by mali prebiehať ideálne automaticky, ak to však nie je možné, používateľ by mal pravidelne kontrolovať, či výrobca (alebo poskytovateľ internetu) neponúka ich novšie verzie. Rovnako by si mali zmeniť heslo z výroby a nahradiť ho dostatočne bezpečnou alternatívou.

Ak ste sa rozhodli pre výmenu zariadenia, je dobré si overiť, ako sa k zraniteľnostiam stavia jeho výrobca. Vydáva aktualizácie a záplaty aj pre staršie modely? Aké je štandardné obdobie, na ktoré poskytuje zariadeniu podporu? Má bug bounty program alebo mechanizmus na nahlasovanie novo objavených zraniteľností? To všetko sú otázky, na ktoré často získate odpoveď krátkym vyhľadávaním cez Google.

Všetky naše testy dokazujú, že smart technológie nie sú z pohľadu IT bezpečnosti bezchybné. Ich majitelia by na to mali myslieť a o zabezpečenie svojich systémov by sa mali zaujímať. Žiaľ, na výrobcov je vyvíjaný veľký tlak, aby inovovali čo najrýchlejšie. Často preto nemajú na kvalitné zabezpečenie a testovanie dostatok času. Stojíme tak na prahu veľkej výzvy.

Kompletnú analýzu zraniteľností uvedených centrál smart home nájdete na stránke WeLiveSecurity.com.

 

Ondrej Kubovič, ESET

Všetky autorove články

Pridať komentár