A Kaspersky Lab nemrég sérülékenységet azonosított egy okos hubnál, amelynek feladata az otthonokban található összes hálózatra csatlakoztatott és telepített modulok, illetve szenzorok kezelése.

Mivel óriási mértékben nő a népszerűsége a csatlakoztatott készülékeknek, úgy nő az igény a lakossági okos hubokra is. Ezek a „csomópontok” könnyebbé teszi az otthoni készülékek kezelését, és lehetővé teszi, hogy a felhasználó beállítsa és irányítsa azokat egy webes felületen vagy mobil alkalmazáson keresztül.

Néhányuk még biztonsági rendszerként is szolgál. Ugyanakkor „egyesítő” szerepéből eredően a kiberbűnözők számára kívánatos célpont, amely feltörésével akár távoli támadásokat is indíthatnak. Tavaly a Kaspersky Lab vizsgálata során kiderült egy smart home készülékről, hogy komoly támadási felületet ad a kiberbűnözőknek a nagyon gyenge jelszógeneráló algoritmusának és nyitott portjainak köszönhetően. Egy új vizsgálat során kiderült, hogy a biztonsági tervezés hiánya és a sérülékenységek miatt a készülékeken keresztül a bűnözőknek hozzáférésük lehet bárki lakásához.

Hiányosságok az éles rendszerben

Először is a kutatók felfedezték, hogy a hub elküldi a felhasználó adatait, amikor kommunikál a szerverrel, például a bejelentkező adatokat (felhasználói azonosító és a hozzá tartozó jelszó), éppen azért, hogy be tudjon lépni a hub webes felületén. Továbbá olyan személyes információkat is listáznak itt, mint a felhasználó telefonszáma, hogy sürgős esetben értesíteni lehessen. A távoli támadók letölthetik ezeket az adatokat úgy, hogy egy legitim kérést küldenek a szerver felé a készülék sorozatszámával. Az elemzés alapján a készülékek sorozatszámát könnyedén kideríthetik a bűnözők, mivel nagyon egyszerű módszerrel generálják azokat.

A szakértők szerint a sorszámok kideríthetők egy szimpla logikán alapuló módszerrel is, amelyet a szerver erősíthet meg. Ha egy készülék regisztrálva van egy felhőalapú rendszerben, akkor a bűnözők megerősítő információkat fognak kapni. Ennek eredményeként be tudnak lépni a felhasználó fiókjába és a hubra csatlakoztatott összes szenzor és vezérlő beállításait kezelhetik. A cég minden azonosított sérülékenységet jelzett a gyártónak, és most dolgoznak a helyreállításán.

Még mindig sok a biztonsági rés

„Annak ellenére, hogy az IoT-rendszerek a kiberbiztonsági kutatók fókuszában vannak évek óta, még mindig nem biztosított a biztonságuk. Véletlenszerűen választottuk ki ezt a hubot, és a tény, hogy sérülékeny, sajnos nem számít kivételnek az Internet of Things világában. A jelen technológiai állás szerint úgy tűnik, szó szerint minden internetre csatlakoztatott készüléknek, még a nagyon egyszerűeknek is biztonsági problémáik vannak – magyarázta Vladimir Dashchenko, a Kaspersky Lab ICS CERT részlegének sérülékenység kutatócsoportjának vezetője.

„Például nemrég elemeztünk egy okosvillanykörtét. Milyen gondot okozhat egy olyan fényforrás, amely csupán a világítás színét és néhány egyéb világítással kapcsolatos beállítást képes megváltoztatni okostelefonon keresztül? Nos, úgy láttuk, hogy a villanykörte memóriája tárol minden olyan információt, amihez már valaha csatlakozott, azaz wifi-hálózatokhoz tartozó neveket és jelszavakat. Mindezt titkosítás nélkül. Tehát még egy okosizzó is veszélybe sodorhat bárkit” – részletezte a kutatási vezető.