Odborníci ze společnosti Kaspersky Lab objevili zranitelnosti ve smart hubu (centrální jednotce) určeném pro ovládání všech propojených modulů a senzorů v chytré domácnosti. Analýza ukázala, že kyberzločinci mohou získat vzdálený přístup do serveru tohoto zařízení a stáhnout z něj uživatelská data. Díky nim se dostanou do uživatelských účtů a získají kontrolu nad chytrými domácími systémy.
S rostoucí oblíbeností propojených zařízení stoupá zájem i o centrální jednotky pro chytré domácnosti. Ty umožňují snadněji spravovat všechna chytrá zařízení nacházející se v domácnosti. Uživatelé díky nim mohou na jednom místě – pomocí webových rozhraní nebo mobilních aplikací – nastavit a ovládat termostaty, alarmy nebo osvětlení. Některé centrální jednotky dokonce slouží jako bezpečnostní systém. Skutečnost, že se z jednoho místa dají ovládat různé moduly chytré domácnosti, samozřejmě láká pozornost kyberzločinců. Minulý rok odborníci Kaspersky Lab podrobili zkoumání několik technologických novinek pro chytrou domácnost. Ukázalo se, že zločincům poskytují řadu možností, jak se do nich nabourat. Slabými místy byly především algoritmy generující snadno prolomitelná hesla a otevřené porty. V novém výzkumu odborníci objevili vážný problém v samotné bezpečnostní architektuře zařízení, která nabízí několik zranitelností umožňujících přístup zločinců do cizích domácností.
Odborníci zjistili, že centrální jednotka při komunikaci se serverem odesílá uživatelská data, včetně přihlašovacích údajů, která jsou zapotřebí pro přihlášení do webového rozhraní smart hubu (ID a heslo). V mnoha případech narazili i na telefonní čísla, na kterých hub v případě nutnosti uživatele kontaktuje. Archiv, ve kterém jsou tyto informace uloženy, mohou útočníci jednoduše stáhnout po odeslání oprávněného požadavku na server. Ten musí obsahovat pouze sériové číslo zařízení, které lze zjistit jednoduchou metodou generování.
Podle odhalení odborníků mohou zločinci sériové číslo zařízení zjistit využitím logické analýzy a následně potvrdit prostřednictvím požadavku na server. Pokud je zařízení se shodným číslem zaregistrované v cloudovém systému, obdrží zločinci potvrzující příkaz. Dále už jim nic nebrání přihlásit se k uživatelskému účtu, v němž lze přenastavit senzory a ovladače zařízení připojených k centrální jednotce.
Veškeré objevené zranitelnosti společnost Kaspersky Lab nahlásila výrobci, který nyní pracuje na jejich opravení.
„I když kyberbezpečnostní odborníci věnují zařízením internetu věcí v posledních letech zvýšenou pozornost, setkáváme se stále se spoustou elektroniky, která je velmi zranitelná. Naši experti náhodně vybrali jednu centrální jednotku pro chytrou domácnost a podrobili ji bezpečnostním testům. Skutečnost, že jsme objevili závažné zranitelnosti, opět potvrdila dlouhodobý problém těchto IoT zařízení s bezpečností. Zdá se, že v podstatě každé IoT zařízení, dokonce i velmi jednoduché, v sobě skrývá bezpečnostní slabinu. Před nedávnem jsme například analyzovali fungování chytré žárovky, která uživateli umožňuje prostřednictvím chytrého telefonu nastavit jinou barvu nebo intenzitu osvětlení. Znepokojilo nás, že i tak jednoduché zařízení v sobě bez jakéhokoliv šifrování uchovává údaje o Wi-Fi sítích, název a heslo, k nimž se přihlásilo. V podstatě se tak dá říct, že i IoT žárovka může ohrozit kybernetickou bezpečnost celé domácnosti,“ varuje Vladimir Dashchenko, vedoucí výzkumu zranitelností v oddělení ICS CERT společnosti Kaspersky Lab.
Běžní uživatelé by se měli řídit následujícími opatřeními, aby zůstali v bezpečí i v případě, že ve své domácnosti využívají chytrá zařízení:
- Vždy používejte složitá hesla, která pravidelně aktualizujte.
- Zajistěte, aby vaše zařízení byla vždy aktualizovaná a zahrnovala nejnovější bezpečnostní záplaty.
- Zařízení internetu věcí pomáhají ochránit i speciální aplikace, jako je například bezplatný Kaspersky IoT Scanner. Díky tomuto řešení uživatel zjistí, jaká zařízení jsou připojena k jeho domácí Wi-Fi síti a jaká je jejich úroveň zabezpečení.
Aby se co možná nejvíce omezila kyberbezpečnostní rizika, doporučuje společnost Kaspersky Lab výrobcům a vývojářům nových technologií, aby vždy před vydáním produktů prováděly bezpečnostní testy a dodržovaly standardy kybernetické bezpečnosti IoT. Kaspersky Lab nedávno také přispěla k normě ITU-T Y.4806 (International Telecommunication Union – Telecommunication sector), která byla vtvořena za účelem navýšení bezpečnosti IoT systémů včetně chytrých měst, nositelné elektroniky, zdravotnických zařízení a dalších.
Více informací o výzkumu zranitelností IoT zařízení se dozvíte na blogu Securelist.com.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností již více než 20 let. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.