Divatos és kényelmes

2019.07.27. 06:00

De mennyire megbízható az okosotthon?

Egy vizsgálat során számos kritikus sérülékenységet találtak egy aktív okosotthon-rendszer vezérlőberendezésében.

Forrás: Shutterstock

Ilyenek voltak például a felhőinfrastruktúrában talált hibák, valamint az alkalmazások távoli futtathatósága, aminek köszönhetően egy harmadik fél „szuperfelhasználói” hozzáférést szerezhetett a vezérlőhöz, és az okosotthon infrastruktúráját tetszése szerint manipulálhatta.

Történetünkben a Kaspersky tájékoztatta megállapításairól a vezérlő gyártóját, a Fibaro vállalatot, amely azonnal intézkedett, és frissítette a biztonsági protokollokat.

Mit mond a biztonsági cég?

A dolgok internetének (IoT) biztonságát vizsgáló első kutatások óta már évek múltak el, ám a dolgok internete azóta is folyamatosan bővül és fejlődik, ezért a kutatások fontossága mit sem változott, hiszen az új termékekkel és megoldásokkal együtt a fenyegetések új dimenziója jelenik meg és veszélyezteti a felhasználók biztonságát.

A Kaspersky egyik alkalmazottja arra kérte a vállalat kutatóit, hogy vizsgálják meg a házába beszerelt okosrendszert és hozzáférést biztosított a vezérlőhöz. Azért éppen a vezérlőre esett a választás, mert az kapcsolja össze és felügyeli az okosotthonban végbemenő összes műveletet, és egy sikeres kompromittálás azt jelentené, hogy a

kibertámadók bármilyen céllal – a kémkedéstől a lopáson át a fizikai szabotázsig – behatolhatnak

a teljes otthoni rendszerbe.

Egy népszerű okosmegoldást vizsgáltak

A kutatás első, információgyűjtő szakaszában a szakemberek több potenciális támadási vektort találtak: az otthonok automatizálásához széles körben használt Z-Wave vezeték nélküli kommunikációs protokollban, a kezelőpanel webes felületén és a felhőinfrastruktúrában.

Utóbbi bizonyult a leghatékonyabbnak a támadás szempontjából: a berendezés felől érkező kérések feldolgozására használt módszerek vizsgálata sérülékenységet tárt fel a hitelesítési folyamatban, továbbá arra is fényt derített, hogy az alkalmazás távolról is futtatható lehet.

Ezek együttesen lehetővé teszik, hogy egy harmadik fél hozzáférést szerezzen az összes Fibaro Home Center Lite vezérlőegységből a felhőbe feltöltött biztonsági mentésekhez, majd a fertőzött biztonsági mentéseket felöltse a felhőbe, és aztán letöltse azokat egy adott vezérlőre annak ellenére, hogy semmilyen jogosultsága nincs a rendszerben.

Simán bejutottak az otthonába

A kísérlet teljessé tételéhez a szakemberek teszttámadást hajtottak végre a vezérlő ellen. Ehhez egy külön e célra fejlesztett, jelszóval védett szkriptet tartalmazó specifikus biztonsági mentést készítettek.

Ezután a felhőn keresztül e-mailt és SMS-t küldtek a vezérlő tulajdonosának, arra kérve őt, hogy frissítse a vezérlő firmware-jét.

Az „áldozat” a kérésnek megfelelően letöltötte a fertőzött biztonsági mentést. Ennek köszönhetően a kutatók szuperfelhasználói hozzáférési jogosultságokat szerezhettek az okosotthon vezérlőjéhez, és manipulálni tudták a vezérlőre kapcsolt rendszert.

Hogy bizonyítsák a sikeres behatolásukat, a kutatók megváltoztatták az ébresztő által lejátszott dallamot: másnap a Kaspersky alkalmazott hangos drum & bass zenére ébredt.

Az eszközök biztonságban tartásához a következőket ajánlják a felhasználóknak:

• Amikor döntést hoz arról, hogy élete mely részét teszi egy kicsit okosabbá, vegye figyelembe a biztonsági kockázatokat.

• Egy IoT eszköz beszerzése előtt kutasson az interneten, keressen híreket a sérülékenységekkel kapcsolatban.

• Az új termékekben lévő standard hibák mellett a nemrégiben piacra dobott eszközök esetében felmerülhetnek olyan biztonsági problémák is, amelyeket a kutatók még nem fedeztek fel. Mindezt figyelembe véve a legjobb döntés az olyan termékek vásárlása, amelyek már több szoftverfrissítésen is átestek, szemben a piacra frissen kikerült legújabbakkal.

• Gondoskodjon arról, hogy minden eszközén naprakészen legyenek telepítve a legújabb biztonsági és firmware-frissítések.

Borítókép: Shutterstock

Hírlevél feliratkozás
Ne maradjon le a haon.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!