Milyen kockázatokkal járnak az intelligens otthoni készülékek?
2015. november 12.
Miután véletlenszerűen kiválasztottak párat a legújabb IoT (Internet of Things) eszközök közül, a Kaspersky Lab kutatói súlyos fenyegetéseket fedeztek fel. Itt van például a kávéfőző, amely megjegyzi a háztulajdonos Wifi jelszavát, a babamonitor, amelyet egy rosszindulatú harmadik fél irányíthat, valamint az okostelefon által vezérelt otthoni biztonsági rendszer, amelyet meg lehet zavarni egy mágnessel.
Tavaly a Kaspersky Lab biztonsági szakértője, David Jacoby körülnézett a nappalijában, és úgy döntött, megvizsgálja, hogy mennyire sebezhetőek az okos eszközei. Megállapította, hogy szinte mindegyik az. Ezt követően 2015-ben a Kaspersky Lab szakértői csoportja megismételte a kísérletet egy kis változtatással: míg David kutatása többnyire a hálózati tárolókra, routerekre és okos televíziókra irányult, addig a legutóbbi kutatás az intelligens otthoni eszközök piacán elérhető legkülönfélébb internetre csatlakozó eszközöket vette górcső alá.
A kísérlethez a következő eszközöket választották: egy videó streamingre használt USB-kulcs, egy okostelefon által vezérelt IP kamera (babakamera), egy okostelefon által vezérelt kávéfőző és egy okostelefon által vezérelt otthoni biztonsági rendszer. A vizsgálat során felfedezték, hogy szinte az összes ilyen eszköz tartalmaz biztonsági réseket.
A vizsgált babamonitor kamera engedélyezte egy hackernek – aki ugyanazt a hálózatot használta, mint a kamera tulajdonosa –, hogy csatlakozzon a kamerához, megnézhesse az általa szolgáltatott videót, és elindítsa rajta a hangfelvételt. Ugyanezen gyártó más kamerái engedélyezték a hackereknek, hogy összegyűjtsék a tulajdonos jelszavait. A kísérlet azt is megállapította, hogy ha a hacker ugyanazon a hálózaton van, képes letölteni a root jelszót a kamerából, és szándékosan módosíthatja a kamera firmware-ét.
Az alkalmazás által vezérelt kávéfőzők esetében nem szükséges, hogy a támadó ugyanazon a hálózaton legyen, mint az áldozat. Megvizsgálták a kávéfőzőt a kísérlet során, és kiderült, hogy elég titkosítás nélküli információt küldött a támadónak ahhoz, hogy az kiderítse a jelszót a kávéfőző tulajdonosának Wi-Fi hálózatához.
Amikor a Kaspersky Lab kutatói megvizsgáltak egy okostelefon által vezérelt otthoni biztonsági rendszert, megállapították, hogy annak szoftverében csupán kis problémák vannak, és elég biztonságos ahhoz, hogy ellenálljon egy kibertámadásnak. A sérülékenység a rendszer által használt egyik érzékelőben volt.
Az egyik szenzor, amely arra szolgál, hogy bekapcsolja a riasztást, amikor egy ajtót vagy ablakot kinyitnak, az ajtóra vagy ablakra szerelt mágnes által kibocsátott mágneses teret érzékeli. Amikor az ajtót vagy az ablakot kinyitják, a mágneses mező eltűnik, melynek hatására az érzékelő riasztást küld a rendszernek. Azonban ha a mágneses tér a helyén marad, akkor a riasztás elmarad.
Az otthoni biztonsági rendszer vizsgálata során a Kaspersky Lab kutatói egy egyszerű mágnessel tudták helyettesíteni az ablakon található mágnes mágneses mezejét. Ez azt jelentette, hogy ki tudták nyitni és be tudták csukni az ablakot a riasztó bekapcsolódása nélkül. Ezzel a sebezhetőséggel az az óriási baj, hogy lehetetlen megjavítani egy szoftverfrissítéssel, a probléma az otthoni biztonsági rendszer kialakításában rejlik. Mi több, különös aggodalomra adhat okot az, hogy sok otthoni biztonsági rendszer használ a mágneses mezőt érzékelő szenzorokat.
Victor Alyushin, a Kaspersky Lab biztonsági kutatója elmondta, hogy a kísérlet megmutatta, hogy a gyártók már figyelembe veszik a kiberbiztonsági szempontokat IoT eszközeik fejlesztésekor. Ennek ellenére minden általuk vizsgált, alkalmazás-vezérelt eszközben legalább egy biztonsági rést találtak. A bűnözők sok ilyen sebezhetőséget kihasználhatnak, ezért is olyan fontos a gyártók számára, hogy minden hibát kijavítsanak, még azokat is, amelyek nem kritikusak. Ezeket a sebezhetőségeket még a piacra kerülés előtt ki kell javítani, mert sokkal nehezebb lesz a javítás, amikor az eszköz már több ezer lakásban működik.
Annak érdekében, hogy segítsék a felhasználókat megvédeni saját magukat és szeretteiket az intelligens otthoni készülékekkel járó kockázatoktól, a Kaspersky Lab kutatói azt tanácsolják, hogy kövessék az alábbi néhány egyszerű szabályt:
1. Mielőtt bármilyen intelligens otthoni eszközt vásárolna, keressen az interneten híreket az eszköz sebezhetőségéről. Az IoT egy nagyon aktuális téma és rengeteg kutató végez komoly háttérmunkát annak érdekében, hogy az ilyen jellegű biztonsági kérdésekre megoldást találjon a legkülönfélébb eszközök esetében, kezdve a babamonitoroktól egészen az alkalmazás által vezérelt fegyverekig. Nagyon is lehetséges, hogy a készülék, amelyet meg szeretne vásárolni, korábban már átesett biztonsági kutatók vizsgálatán, és a készülékkel kapcsolatos problémákra már találtak megoldást.
2. Nem mindig jó ötlet megvásárolni a legújabb termékeket. Az általános hibák mellett a nemrég piacra dobott eszközök tartalmazhatnak biztonsági hiányosságokat is, amelyeket még nem fedeztek fel a biztonsági kutatók. A legjobb olyan termékeket vásárolni, amelyek már több szoftverfrissítést megéltek.
3. Amikor eldönti, hogy az élete melyik területét teszi egy kicsit “okosabbá”, mindig mérlegelje a biztonsági kockázatokat. Ha az otthona olyan hely, ahol rengeteg dolgot és anyagi értéket tárol, akkor valószínűleg jó ötlet lehet, hogy egy profi riasztórendszert válasszon, amely kiválthatja vagy kiegészítheti a meglévő, alkalmazás által vezérelt otthoni riasztó rendszerét, vagy konfigurálja úgy meglévő rendszerét, hogy semmilyen lehetséges sebezhetőség ne befolyásolhassa annak működését. Amikor kiválaszt egy eszközt, amely adatokat fog gyűjteni az Ön és családja személyes életéről, például egy babamonitort, érdemes lehet a legegyszerűbb RF modellt választani, amely csak audiojelet képes továbbítani, internet kapcsolat nélkül. Ha ez nem lehetséges, akkor kövesse az első tanácsunkat, és döntsön bölcsen.
Kapcsolódó cikkek
- Nőtt a mobil fenyegetések, az online bankszámlákról megkísérelt lopások száma
- Az online zaklatás és a tehetetlen(?!) szülők
- 320 órán keresztül tartott a leghosszabb osztott szolgáltatásmegtagadó támadás
- Fellélegezhetnek a CoinVault és Bitcryptor zsaroló vírusok áldozatai
- Biometrikus adatainkkal is könnyen visszaélhetnek
- Nem bíznak a külső szolgáltatókban a vállalkozások
- Ötből négy rosszindulatú támadás komoly problémát jelent a felhasználóknak
- A gyermekeket is meg lehet védeni a neten leselkedő veszélyektől
- A DDoS támadás csak a jéghegy csúcsa
- Még mindig aktív a Winnti kiberbűnözői csoport