Badacze z Kaspersky Lab wykryli luki w zabezpieczeniach systemu wykorzystywanego do zarządzania wszystkimi podłączonymi do niego modułami i czujnikami, które są zainstalowane w inteligentnym domu. Z analizy wynika, że zdalny atakujący może uzyskać dostęp do serwera produktu i pobrać archiwum zawierające dane osobiste wybranych użytkowników, które są niezbędne do zdobycia dostępu do ich kont i przejęcia kontroli nad systemami domowymi.
Wraz z ciągłym wzrostem popularności urządzeń połączonych z internetem istnieje duże zapotrzebowanie na centra zawiadujące inteligentnymi domami. Urządzenia te znacznie ułatwiają zarządzanie domem, skupiając w jednym miejscu ustawienia wszystkich urządzeń i umożliwiając użytkownikom skonfigurowanie i zarządzanie swoimi urządzeniami za pośrednictwem interfejsów WWW lub aplikacji mobilnych. Niektóre z nich pełnią nawet funkcję systemu bezpieczeństwa. Z drugiej strony, jako swego rodzaju „łącznik”, tego typu urządzenie stanowi atrakcyjny cel cyberprzestępców, którzy mogą wykorzystać je do przeprowadzenia zdalnych ataków. Podczas nowego badania eksperci z Kaspersky Lab odkryli, że konstrukcja nieuwzględniająca kwestii bezpieczeństwa w połączeniu z kilkoma lukami w zabezpieczeniach architektury inteligentnego urządzenia mogą umożliwić przestępcom dostęp do cudzego domu.
Po pierwsze, badacze odkryli, że podczas komunikacji z serwerem centrum wysyła dane użytkownika, łącznie z danymi uwierzytelniającymi logowanie, które są niezbędne w celu uzyskania dostępu do interfejsu WWW inteligentnego centrum – na które składa się identyfikator użytkownika oraz hasło. Można tu wymienić również inne informacje osobowe, takie jak numer telefonu użytkownika wykorzystywany do wysyłania alertów. Zdalny atakujący może pobrać archiwum zawierające te informacje poprzez wysłanie legalnego żądania do serwera, które obejmuje numer seryjny urządzenia. Z analizy wynika, że identyfikację numeru seryjnego umożliwia intruzom wykorzystanie bardzo prostych metod ich generowania.
Według ekspertów numery seryjne można złamać metodą siłową, wykorzystując do tego analizę logiczną, a następnie potwierdzić je za pomocą żądania do serwera. Jeśli urządzenie z danym numerem seryjnym jest zarejestrowane w chmurze, przestępcy otrzymają informacje potwierdzające. Następnie będą mogli zalogować się do konta WWW użytkownika i zarządzać ustawieniami połączonych z centrum czujników i sterowników.
Wszystkie informacje dotyczące wykrytych luk w zabezpieczeniach zostały zgłoszone producentowi i obecnie trwają prace nad usunięciem problemu.
– Chociaż urządzenia IoT w ostatnich latach stanowią główny obszar zainteresowania badaczy cyberbezpieczeństwa, nadal okazują się niewystarczająco zabezpieczone. Zbadane przez nas centrum inteligentnego domu zostało wybrane losowo, a to, że okazało się ono podatne na ataki, nie jest wyjątkiem, a raczej kolejnym dowodem na ciągłe problemy dotyczące bezpieczeństwa w świecie Internetu Rzeczy. Obecnie wydaje się, że dosłownie każde urządzenie IoT – nawet to najprostsze – posiada co najmniej jeden problem dotyczący bezpieczeństwa. Na przykład, ostatnio analizowaliśmy inteligentną żarówkę. Można pomyśleć, że to tylko żarówka, która pozwala zmienić barwę światła oraz inne parametry oświetlenia za pomocą smartfona. W rzeczywistości odkryliśmy, że wszystkie dane uwierzytelniające sieci Wi-Fi, tj. nazwy i hasła, z którymi żarówka łączyła się wcześniej, są przechowywane w jej pamięci w postaci niezaszyfrowanej. Innymi słowy, obecny stan rzeczy w sferze bezpieczeństwa IoT jest taki, że nawet zwykła żarówka może umożliwić atak na inteligentny dom – powiedział Władimir Daszczenko, szef zespołu zajmującego się badaniami luk w zabezpieczeniach w ramach zespołu Kaspersky Lab ICS CERT.
Kaspersky Lab zaleca następujące działania zwiększające bezpieczeństwo w kontekście Internetu Rzeczy:
- zawsze stosuj złożone hasła i nie zapominaj, aby je regularnie zmieniać,
- zwiększ swoją świadomość bezpieczeństwa, sprawdzając najnowsze informacje dotyczące wykrytych i załatanych luk w zabezpieczeniach inteligentnych urządzeń, które zwykle są dostępne online.