Urządzenia typu smart potrafią ułatwić nam życie. Zdalne gaszenie światła, inteligentne sterowanie temperaturą w domu… Nawet lodówka może pokazać nam swoją zawartość na ekranie telefonu. Brzmi pięknie, prawda? Jednak jak duża ilość użytkowników zastanawia się nad bezpieczeństwem tego typu urządzeń? Nie każdy jest świadomy jak bardzo urządzenia typu IoT są podatne na różnego typu ataki, głównie przez fakt, że są to urządzenia o bardzo niskiej mocy obliczeniowej, co praktycznie uniemożliwia włączenie jakiegokolwiek szyfrowania ruchu. Wystarczy wspomnieć o kilku ostatnich podatnościach i problemach związanych z urządzeniami smart.
A zacznijmy od… żarówki. Niby mało skomplikowane urządzenie: świeci się albo nie świeci, czasami można ustawić jej kolor lub natężenie światła. Jednak nawet taka żarówka może zostać wykorzystana do przeprowadzenia prostego ataku. Za przykład podam tutaj produkt znanego producenta sprzętu sieciowego, TP-Link, a konkretnie żarówkę Tapo L530E. Otóż badacze z uniwersytetów w Londynie oraz Katanii, poddali wspomniany produkt analizie, głównie przez jego popularność. Wyniki tej analizy pokazują jak bardzo podatne są urządzenia IoT. We wspomnianym urządzeniu znaleziono kilka podatności, z których pierwsza została oznaczona jako wysoce dotkliwa (CVSS score 8.8), ponieważ umożliwiała wykradnięcie poświadczeń, co dawało możliwość przejęcia kontroli nad urządzeniem. Druga podatność również została uznana jako wysoce dotkliwa (score 7.6), a wynika ona z krótkiej sumy kontrolnej, która jest kodowana „na sztywno”, co powodowało niską losowość podczas generowania klucza szyfrującego, oraz jego wysoką przewidywalność. Trzecia z podatnością – a raczej niedopatrzenie producenta – to fakt, że klucz sesyjny jest aktywny przez 24 godziny, co daje hakerom sporo czasu na przeprowadzenie złośliwych działań.
Pojedynczo powyższe podatności ciężko jest wykorzystać w sensowny sposób, jednak kiedy zbierzemy i użyjemy je wszystkie razem, to pojawia się możliwość łatwego zdobycia hasła do sieci Wi-Fi, do której podłączona jest owa żarówka. A to daje już o wiele większe możliwości…
Drugim przypadkiem problemów z urządzeniami smart jest fakt, że część z nich posiada sporą ilość czujników, które umożliwiają skanowanie otoczenia (część z nich posiada kamery, sensory podczerwieni, moduły GPS). Jednak czy zastanawialiście się w jaki sposób przetwarzane są te informacje? Czy są one dostępne tylko lokalnie, czy może są one wysyłane dalej? Dobrym przykładem może być robot sprzątający iRoomba, bardzo popularny robot-odkurzacz, który robił zdjęcia domownikom w różnych sytuacjach.
Z czego wynikła ta sytuacja? Otóż producent prowadził eksperymentalny program, który miał na celu usprawnienie oraz dostosowanie urządzenia do działania w różnych warunkach. Wspomniane zdjęcia wysyłane były do firmy ScaleAI, jednak niestety jak to często bywa, niektórzy pracownicy nie byli zbyt uczciwi i udostępniali pozyskane w ten sposób fotografie w sieci, przez co cała sytuacja uruchomiła sporą dyskusję na temat naszej prywatności wobec tego typu urządzeń.
A jaki jest morał z obu tych historii? Warto mieć ograniczone zaufanie względem urządzeń typu smart, a szczególnie wobec tych, które łączą się z zewnętrznymi serwerami różnych firm. Jak się przed tym chronić? Warto pomyśleć nad lokalnym kontrolerem urządzeń typu smart, np. HomeAssistant lub Domoticz. Istnieje bardzo dużo darmowych oraz stale rozwijanych rozwiązań, które na pewno warto wziąć pod uwagę.
Źródła:
TP-Link smart bulbs can let hackers steal your WiFi password
Kobieta siedziała na toalecie, a robot Roomba zrobił jej zdjęcie. Trafiło do sieci
Przeczytaj również:
>>> Czy wiesz, że Twoje gadżety i urządzenia domowe mogą zostać zaatakowane? [Infografika]
>>> Pięć największych cyberzagrożeń w życiu codziennym [Infografika]
