Experiment Kaspersky Lab: i kávovar může prozradit heslo k vaší WiFi
Kávovar, který prozradil heslo k WiFi, dětská video chůvička ovládaná třetí stranou, nebo domácí zabezpečovací systém spravovaný smartphonem, který lze zmást magnetem. Tyto případy objevili analytici Kaspersky Lab, když náhodně vybrali a otestovali nejnovější produkty ze světa internetu věcí (IoT) v propojených domácnostech.
Tým anti-malware odborníků se soustředil na propojení zařízení dostupných na trhu služeb pro chytré domácnosti. Konkrétně se jednalo o USB zařízení pro přenos videa a zařízení ovládaná chytrým telefonem (IP kamera, kávovar a domácí bezpečnostní systém). Experiment odhalil, že téměř každé z těchto zařízení obsahuje zranitelnosti.
Dětská video chůvička dovolila hackerovi připojit se ke kameře, sledovat video a slyšet přenášený zvuk. Stačilo použít stejnou síť, jakou používá vlastník kamery. Jiné kamery od stejného dodavatele umožnily útočníkovi získat majitelova hesla nebo načíst root heslo z kamery a modifikovat její firmware. U kávovaru nebylo nutné, aby byl hacker na stejné síti jako oběť. Zkoumaný přístroj posílal dostatek nezašifrovaných informací na to, aby útočník odhalil heslo majitele kávovaru pro celou jeho WiFi síť.
Při zkoumání domácího bezpečnostního systému ovládaného smartphonem analytici zjistili, že má pouze drobné nedostatky a je dostatečně zabezpečený, aby odolal kybernetickému útoku. Zranitelnost však nalezli v jednom ze senzorů, které systém používá. Kontaktní senzor je určený k tomu, aby spustil alarm ve chvíli, kdy se otevřou dveře či okno. Funguje na principu detekce magnetického pole vyzařovaného magnetem umístěným na dveřích či okně.
V případě otevření pole zmizí a senzor vyšle systému výstražnou zprávu. Analytici Kaspersky použili jednoduchý magnet k nahrazení magnetického pole magnetu na okně. Mohli tak okno otevřít či zavřít, aniž by spustili alarm. Problémem je, že se zranitelnost nachází v samotné konstrukci domácího zabezpečovacího systému, a tudíž ji není možné opravit pomocí softwarové aktualizace. Zařízení s tímto senzorem jsou navíc běžným typem, který používá mnoho domácích bezpečnostních systémů na trhu.
Kaspersky Lab doporuče dodržovat několik jednoduchých pravidel ke snížení rizika zranitelností v zařízeních pro chytré domovy:
1) Před pořízením jakéhokoliv IoT zařízení prozkoumat na internetu novinky ohledně zranitelností ve vybraném produktu. Internet věcí je aktuálním tématem a mnoho expertů se zabývá hledáním bezpečnostních slabin v produktech tohoto druhu, od dětských chůviček až po aplikací ovládané pušky. Je velmi pravděpodobné, že vybrané zařízení již bylo prozkoumáno a lze dohledat, zda byly nalezené chyby již opraveny.
2) Nemusí se vyplatit kupovat nejnovější produkty na trhu. Spolu s klasickými „mouchami“, které se v nových zařízeních vyskytují, mohou novinky obsahovat i bezpečnostní slabiny, které zatím nebyly odhaleny. Nejvhodnější je tedy zakoupit produkt, který již prošel několika softwarovými aktualizacemi.
3) Zvážit při výběru chytrých zařízení i případná bezpečnostní rizika. Jestliže se například v domácnosti nachází mnoho věcí vysoké materiální hodnoty, je na místě uvažovat o profesionálním poplašném systému. Ten může nahradit či alespoň doplnit stávající, aplikací řízený domácí bezpečnostní systém. Uživatelé mohou případně nastavit existující systém tak, aby jakékoliv potenciální zranitelnosti neovlivnily jeho fungování. Při výběru zařízení, které bude shromažďovat data o osobním životě, jako je například dětská chůvička, může být vhodné vybrat nejjednodušší radiofrekvenční model. Tedy takový, který pouze přenáší zvukový signál bez internetového připojení.
Zdroj: Kaspersky Lab TZ
