Cercetătorii Kaspersky Lab au descoperit vulnerabilități într-un centru de comandă pentru locuințe inteligente, folosit pentru a gestiona toate modulele conectate și senzorii instalați în locuință. Analiza dezvăluie că este posibil ca un atacator să acceseze de la distanță serverul produsului și să descarce o arhivă conținând datele personale ale utilizatorilor, de care este nevoie pentru a le accesa contul și a prelua controlul asupra sistemelor de acasă.
Pe măsură ce crește popularitatea dispozitivelor conectate, centrele de comandă (‚hubs”) pentru locuințe inteligente sunt și ele la mare căutare. Acestea simplifică mult managementul casei, reunind toate setările dispozitivelor într-un singur loc și permițând utilizatorilor să le pună în funcțiune și să le controleze prin intermediul unor interfețe web sau aplicații mobile. Mai mult, unele dintre ele sunt folosite și ca sistem de securitate. În același timp, fiind un „integrator”, acest sistem este o țintă atractivă pentru infractorii cibernetici, care le-ar putea servi ca punct de intrare pentru atacuri de la distanță. Anul trecut, Kaspersky Lab a studiat un dispozitiv pentru locuințe inteligente care s-a dovedit a oferi o vastă suprafață de atac pentru intruși, din cauza algoritmilor care generează parole slabe și a port-urilor deschise. Pe parcursul noii investigații, cercetătorii au descoperit că un design deficitar la capitolul siguranță și mai multe vulnerabilități în structura dispozitivului inteligent ar putea să le dea infractorilor acces în locuința cuiva.
În primul rând, cercetătorii au descoperit că centrul de comandă trimite datele utilizatorului atunci când are de comunicat ceva unui server, inclusiv datele de autentificare necesare pentru accesarea interfaței web a centrului de comandă inteligent: numele de utilizator și parola. În plus, acolo pot fi găsite și alte informații personale, cum ar fi numărul de telefon al utilizatorului, pe care să primească alerte. Atacatorii pot descărca arhiva cu aceste informații, trimițând o solicitare legitimă către server, care include numărul de serie al dispozitivului. Analiza arată că numărul de serie poate fi descoperit de intruși și din cauza metodelor simpliste de generare a acestuia.
Potrivit experților, numerele de serie pot fi aflate și prin metoda „brute-force”, folosind analiza logică și apoi confirmându-le printr-o solicitare către server. Dacă un dispozitiv cu acel număr de serie este înregistrat în sistem, infractorii vor primi informații pozitive. Prin urmare, se pot loga în contul de web al utilizatorului și controla toate setările senzorilor și ale dispozitivelor de management conectate la centrul de comandă.
Toate informațiile despre vulnerabilitățile descoperite au fost comunicate producătorului și sunt în curs de remediere.
„Chiar dacă dispozitivele IoT au fost în atenția cercetătorilor de securitate cibernetică în ultimii ani, ele au încă probleme de siguranță”, spune Vladimir Dashchenko, Head of vulnerabilities research group la Kaspersky Lab ICS CERT. „Am selectat aleatoriu centrul de comandă pentru locuințe inteligente și faptul că i-am găsit vulnerabilități nu este o excepție, ci mai degrabă o confirmare a problemelor de securitate din lumea IoT. Se pare că literalmente fiecare dispozitiv IoT – chiar și cele mai simple – are cel puțin o problemă de securitate. De exemplu, am analizat recent un bec inteligent. Ce ar putea să fie în neregulă cu un bec care îți permite doar să schimbi culoarea luminii și alți parametri de iluminat, prin intermediul smartphone-ului, s-ar putea să vă întrebați. Ei bine, am descoperit că toate datele de identificare ale rețelei Wi-Fi din locuință – nume și parole – la care se conectase becul înainte, sunt păstrate în memoria lui, fără nicio criptare. Cu alte cuvinte, situația actuală a securității domeniului IoT face posibil ca până și un bec să vă compromită datele.
Este foarte important ca producătorii să asigure protecția corespunzătoare a utilizatorilor și să fie foarte atenți la cerințele privind securitatea atunci când dezvoltă și își scot pe piață produsele, pentru că până și cele mai mici detalii ale unui design deficitar la capitolul siguranță pot duce la consecințe periculoase”, a concluzionat el.
Pentru a fi în siguranță, Kaspersky Lab le recomandă utilizatorilor:
- Să folosească întotdeauna o parolă complexă și să nu uite să o schimbe la intervale regulate.
- Să fie la curent cu ultimele informații despre vulnerabilitățile descoperite și remediate ale dispozitivelor inteligente.
Pentru siguranța caselor inteligente și a domeniului IoT, Kaspersky Lab oferă aplicația gratuită pentru platforma Android, Kaspersky IoT Scanner. Soluția scanează rețeaua Wi-Fi din locuințe, informând utilizatorii despre dispozitivele conectate la ea și gradul lor de siguranță.
Pentru a atenua riscurile de securitate, Kapsersky Lab îi sfătuiește pe producători și dezvoltatori să facă întotdeauna teste de securitate înainte ca produsele să fie lansate și să respecte standardele de securitate pentru domeniul IoT. Recent, Kaspersky Lab a contribuit la dezvoltarea Recomandării ITU-T Y.4806 (International Telecommunication Union — sectorul telecomunicațiilor), creată pentru protecția sistemelor IoT, inclusiv a celor care țin de orașe inteligente, dispozitive portabile sau dispozitive medicale de sine stătătoare.
Mai multe informații despre această cercetare sunt disponibile pe Securelist.com.
Despre Kaspersky Lab
Kaspersky Lab este o companie globală din domeniul securității cibernetice, prezentă pe piață de peste 20 de ani. Informațiile vaste despre amenințările cibernetice și experiența în securitate IT deținute de Kaspersky Lab se materializează în mod constant în soluții de securitate și servicii de ultimă generație pentru a proteja companiile, infrastructura critică, autoritățile guvernamentale și utilizatorii individuali din toată lumea. Portofoliul companiei include protecție endpoint de top și mai multe soluții specializate de securitate și servicii, pentru a combate amenințările digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky Lab, precum și 270.000 de companii client, pe care le ajutăm să protejeze ce e mai important pentru ele. Pentru mai multe informații, vizitați www.kaspersky.ro.