Cercetatorii Kaspersky Lab au descoperit vulnerabilitati intr-un centru de comanda pentru locuinte inteligente, folosit pentru a gestiona toate modulele conectate si senzorii instalati in locuinta.
Analiza dezvaluie ca este posibil ca un atacator sa acceseze de la distanta serverul produsului si sa descarce o arhiva continand datele personale ale utilizatorilor, de care este nevoie pentru a le accesa contul si a prelua controlul asupra sistemelor de acasa, anunta un comunicat de presa al companiei.
Riscuri ridicate
Popularitatea dispozitivelor conectate a dus la o crestere a numarului de centre de comanda (hubs) pentru case smart. Acestea simplifica mult managementul casei, reunind toate setarile dispozitivelor intr-un singur loc si permitand utilizatorilor sa le puna in functiune si sa le controleze prin intermediul unor interfete web sau aplicatii mobile. Mai mult, unele dintre ele sunt folosite si ca sistem de securitate.
Totodata, sisteul reprezinta si o tinta preferata pentru hackeri, prin rolul “integrator” detinut de arhitectura acestuia. Ceea ce se dovedeste benefic in administrarea tuturor dispozitivelor conectate dintr-o locuinta inteligenta poate servi ca punct de intrare pentru atacuri de la distanta.
Anul trecut, Kaspersky Lab a studiat un dispozitiv pentru locuinte inteligente care s-a dovedit a oferi o vasta suprafata de atac pentru intrusi, din cauza algoritmilor care genereaza parole slabe si a port-urilor deschise. Pe parcursul noii investigatii, cercetatorii au descoperit ca un design deficitar la capitolul siguranta si mai multe vulnerabilitati in structura dispozitivului inteligent ar putea sa le dea infractorilor acces in locuinta cuiva.
In primul rand, cercetatorii au descoperit ca centrul de comanda trimite datele utilizatorului atunci cand are de comunicat ceva unui server, inclusiv datele de autentificare necesare pentru accesarea interfatei web a centrului de comanda inteligent: numele de utilizator si parola.
In plus, acolo pot fi gasite si alte informatii personale, cum ar fi numarul de telefon al utilizatorului, pe care sa primeasca alerte. Atacatorii pot descarca arhiva cu aceste informatii, trimitand o solicitare legitima catre server, care include numarul de serie al dispozitivului. Analiza arata ca numarul de serie poate fi descoperit de intrusi si din cauza metodelor simpliste de generare a acestuia.
Tradare la lumina becului
Potrivit expertilor, numerele de serie pot fi aflate si prin metoda „brute-force”, folosind analiza logica si apoi confirmandu-le printr-o solicitare catre server. Daca un dispozitiv cu acel numar de serie este inregistrat in sistem, infractorii vor primi informatii pozitive. Prin urmare, se pot loga in contul de web al utilizatorului si controla toate setarile senzorilor si ale dispozitivelor de management conectate la centrul de comanda.
Toate informatiile despre vulnerabilitatile descoperite au fost comunicate producatorului si sunt in curs de remediere.
„Chiar daca dispozitivele IoT au fost in atentia cercetatorilor de securitate cibernetica in ultimii ani, ele au inca probleme de siguranta”, spune Vladimir Dashchenko, Head of vulnerabilities research group la Kaspersky Lab ICS CERT. „Am selectat aleatoriu centrul de comanda pentru locuinte inteligente si faptul ca i-am gasit vulnerabilitati nu este o exceptie, ci mai degraba o confirmare a problemelor de securitate din lumea IoT. Se pare ca literalmente fiecare dispozitiv IoT – chiar si cele mai simple – are cel putin o problema de securitate. De exemplu, am analizat recent un bec inteligent. Ce ar putea sa fie in neregula cu un bec care iti permite doar sa schimbi culoarea luminii si alti parametri de iluminat, prin intermediul smartphone-ului, s-ar putea sa va intrebati. Ei bine, am descoperit ca toate datele de identificare ale retelei Wi-Fi din locuinta – nume si parole – la care se conectase becul inainte, sunt pastrate in memoria lui, fara nicio criptare. Cu alte cuvinte, situatia actuala a securitatii domeniului IoT face posibil ca pana si un bec sa va compromita datele.
Este foarte important ca producatorii sa asigure protectia corespunzatoare a utilizatorilor si sa fie foarte atenti la cerintele privind securitatea atunci cand dezvolta si isi scot pe piata produsele, pentru ca pana si cele mai mici detalii ale unui design deficitar la capitolul siguranta pot duce la consecinte periculoase”, a concluzionat el.
Masuri suplimentare de securitate
Pentru a fi in siguranta, Kaspersky Lab le recomanda utilizatorilor:
• Sa foloseasca intotdeauna o parola complexa si sa nu uite sa o schimbe la intervale regulate.
• Sa fie la curent cu ultimele informatii despre vulnerabilitatile descoperite si remediate ale dispozitivelor inteligente.
Pentru siguranta caselor inteligente si a domeniului IoT, Kaspersky Lab ofera aplicatia gratuita pentru platforma Android, Kaspersky IoT Scanner. Solutia scaneaza reteaua Wi-Fi din locuinte, informand utilizatorii despre dispozitivele conectate la ea si gradul lor de siguranta.
Pentru a atenua riscurile de securitate, Kapsersky Lab ii sfatuieste pe producatori si dezvoltatori sa faca intotdeauna teste de securitate inainte ca produsele sa fie lansate si sa respecte standardele de securitate pentru domeniul IoT. Recent, Kaspersky Lab a contribuit la dezvoltarea Recomandarii ITU-T Y.4806 (International Telecommunication Union — sectorul telecomunicatiilor), creata pentru protectia sistemelor IoT, inclusiv a celor care tin de orase inteligente, dispozitive portabile sau dispozitive medicale de sine statatoare.