Istraživači kompanije Kaspersky Lab otkrili su ranjivosti u centrali koja biva korišćena za upravljanje svim povezanim modulima i senzorima u domu. Analiza je otkrila da je moguće da napadač iz daljine pristupi serveru proizvoda i preuzme arhivu koja sadrži lične podatke korisnika, koja im je potrebna kako bi pristupili njihovom nalogu i preuzeli kontrolu nad kućnim sistemima kao rezultat.
Kako popularnost povezivih uređaja nastavlja da raste, potražnja za pametnim kućnim centralama je velika. One omogućavaju da vođenje domaćinstva bude jednostavnije, time što kombinovanjem postavki svih uređaja na jednom mestu omogućavaju korisnicima da ih podese i kontrolišu preko web interfejsa ili mobilnih aplikacija. Neke od njih služe čak i kao bezbednosni sistemi. Istovremeno, time što je zamišljen kao „ujedinitelj”, ovaj uređaj je primamljiva meta za sajber kriminalce, kojima može poslužiti kao ulazna tačka za daljinske napade. Ranije ove godine, kompanija Kaspersky Lab je ispitala pametni kućni uređaj, za koji se ispostavilo da uljezima otvara široko polje napada, a koji je bio zasnovan na slabim lozinkama i otvorenim portovima. Tokom nove istrage, istraživači su otkrilli da bezbedni dizajn i nekoliko ranjivosti u arhitekturi pametnog uređaja, mogu pružiti kriminalcima pristup nečijem domu.
Prvo su istraživači otkrili da centrala šalje korisničke podatke kada komunicira sa serverom, uključujući i podatke koji su potrebni za prijavu na web interfejs pametne centrale – korisnikov ID i lozinka. Štaviše, drugi lični podaci, poput korisnikovog broja telefona koji se koristi za obaveštenja, takođe su navedeni. Napadači mogu iz daljine da preuzmu arhivu sa ovim informacijama, tako što će poslati legitiman zahtev serveru koji obuhvata i serijski broj uređaja. Analiza je pokazala da serijski broj mogu otkriti i uljezi, što je posledica pojednostavljenih metoda njegove generacije.
Prema stručnjacima, serijski brojevi mogu biti nasumično napadnuti metodom „brute-force” i korišćenjem logičke analize, a potom i potvrđeni, putem slanja zahteva serveru. Ukoliko je uređaj sa serijskim brojem registrovan u Cloud sistemu, kriminalci će dobiti potvrdnu informaciju. Kao rezultat, mogu da se uloguju na korisnikov veb nalog i upravljaju postavkama senzora i kontrolora koji su povezani sa centralom.
Sve informacije o otkrivenim ranjivostima su prijavljene prodavcu i trenutno su u fazi popravke.
„Iako su uređaji Interneta stvari (IoT) bili u fokusu istraživača sajber bezbednosti prethodnih godina, ispostavilo se da su i dalje nebezbedni. Nasumično smo odabrali pametnu kućnu central, a to što smo otkrili da je ranjiva nije izuzetak, već je pre još jedna potvrda kontinuiranih bezbednosnih problema na polju Internata stvari. Trenutno se čini da bukvalno svaki uređaj interneta stvari – čak i oni vrlo jednostavni – imaju barem jedan bezbednosni problem. Na primer, skoro smo analizirali pametnu sijalicu. Šta bi moglo poći po zlu sa sijalicom koja vam omogućava da promenite boju osvetljenja i neke druge parametre osvetljenja putem vašeg pametnog telefona, verovatno se pitate. Mi smo otkrili da se svi podaci o Wi-Fi mrežama, poput imena i lozinki, na koje je sijalica prethodno bila povezana, čuvaju u njenoj memoriji bez enkripcije. Drugim rečima, trenutna situacija u bezebdnosnoj sferi Interneta stvari jeste takva da vas čak i vaša sijalica može kompromitovati”, rekao je Vladimir Daščenko (Vladimir Dashchenko), vođa tima za istraživanje ranjivosti u kompaniji Kaspersky Lab ICS CERT.
„Izuzetno je važno da se proizvođači postaraju da njihovi korisnici imaju odgovarajuću zaštitu i da obraćaju punu pažnju na bezbednosne zahteve, kada razvijaju i puštaju svoje nove proizvode u prodaju, jer čak i najsitniji detalji nebezebednog dizajna mogu dovesti do opasnih posledica”, zaključio je.
Kako biste ostali zaštićeni, kompanija Kaspersky Lab snažno preporučuje korisnicima da urade sledeće:
• Uvek koristite složene lozinke i ne zaboravite da ih redovno menjate.
• Saznajte više o bezbednosti tako što ćete proveravati poslednje informacije o otkrivenim i „zakrpljenim” ranjivostima pametnih uređaja, što je obično dostupno onlajn.
Kako biste osigurali bezbednost vašeg „pametnog” doma i Interneta stvari, kompanija Kaspersky Lab nudi besplatnu aplikaciju za Android platformu – Kaspersky IoT Scanner. Ovo rešenje skenira kućnu bežičnu mrežu, informišući korisnika o uređajima koji su povezani na nju, kao i nivo bezbednosti.
Kako bi smanjili sajberbezbdnosne rizike, kompanija Kaspersky Lab savetuje proizvođačima i developerima da uvek pre puštanja proizvoda u prodaju, sprovedu sve bezbednosne testove i da prate sajberbezbednosne standarde Interneta stvari.
Više informacija o istraživanju možete naći na Securelist.com