“Έξυπνο” σπίτι – Δείτε τι κινδύνους αποκάλυψε έρευνα ότι μπορεί να κρύβει και δεν το φανταζόμασταν!

Έχουν περάσει χρόνια από τότε που ερευνήθηκε για πρώτη φορά η ασφάλεια του Internet of Things (IoT), και όσο το IoT τοπίο συνεχίζει να επεκτείνεται και να εξελίσσεται, μία τέτοια έρευνα παραμένει σημαντική.

Νέα προϊόντα και λύσεις, νέες διαστάσεις απειλών αναδύονται, διακινδυνεύοντας την ασφάλεια των χρηστών. Ένας εργαζόμενος στην Kaspersky προκάλεσε τους ερευνητές της να εξετάσουν το «έξυπνο» οικιακό του σύστημα. Παραχώρησε στους ερευνητές πρόσβαση στη συσκευή ελέγχου του «έξυπνου» σπιτιού του. Επιλέχθηκε η συσκευή ελέγχου επειδή συνδέει και επιβλέπει τις συνολικές λειτουργίες του «έξυπνου» σπιτιού και μια επιτυχημένη παραβίαση θα επέτρεπε σε έναν ψηφιακό επιτιθέμενο να εισβάλει σε ένα ολόκληρο οικιακό οικοσύστημα αποσκοπώντας στο οτιδήποτε, από κατασκοπεία και κλοπή μέχρι φυσική δολιοφθορά.

Διαπίστωσαν ότι η υποδομή του cloud αποδείχθηκε ως η πιο αποτελεσματική για επίθεση: μία εξέταση των μεθόδων που χρησιμοποιήθηκαν για την επεξεργασία αιτημάτων από τη συσκευή, αποκάλυψε ευπάθεια στη διαδικασία εξουσιοδότησης και στην πιθανότητα εκτέλεσης απομακρυσμένου κώδικα.

Πιο συγκεκριμένα, οι ερευνητές της Kaspersky, εξετάζοντας τη συσκευή ελέγχου για ένα ενεργό «έξυπνο» οικιακό οικοσύστημα, εντόπισαν αρκετές σημαντικές ευπάθειες. Σε αυτές περιλαμβάνονται bugs στην υποδομή του cloud και πιθανή απομακρυσμένη εκτέλεση κώδικα που θα επέτρεπε σε ένα τρίτο πρόσωπο να αποκτήσει πρόσβαση «super user» στη συσκευή ελέγχου και να χειριστεί την υποδομή του «έξυπνου» σπιτιού κατά τον τρόπο που επιθυμεί. H Kaspersky κοινοποίησε τα ευρήματα στον προμηθευτή, τη Fibaro, η οποία τα διευθέτησε άμεσα και αναβάθμισε τα πρωτόκολλα ασφάλειας.

Για να ολοκληρώσουν το πείραμα, οι ερευνητές της Kaspersky εφάρμοσαν μία δοκιμαστική επίθεση στη συσκευή ελέγχου. Γι’ αυτό, προετοίμασαν ένα συγκεκριμένο backup με ένα ξεχωριστά αναπτυγμένο σενάριο, προστατευμένο με έναν κωδικό. Έπειτα έστειλαν ένα email και ένα SMS στον ιδιοκτήτη της συσκευής μέσω του cloud, παρακινώντας τον να αναβαθμίσει το firmware της συσκευής ελέγχου. Όπως ζητήθηκε, το «θύμα» συμφώνησε και «κατέβασε» το «μολυσμένο» backup.

Αυτό έδωσε τη δυνατότητα στους ερευνητές να αποκτήσουν δικαιώματα super user στη συσκευή ελέγχου του «έξυπνου» σπιτιού, επιτρέποντας τους να χειριστούν προς όφελός τους το συνδεδεμένο οικοσύστημα. Για να κάνουν εμφανή την επιτυχημένη εισβολή στο σύστημα, οι ερευνητές άλλαξαν τον ήχο στο ξυπνητήρι – την επόμενη ημέρα, ο εργαζόμενος της Kaspersky ξύπνησε από μία δυνατή drum & bass μουσική.

«Σε αντίθεση με εμάς, ένας πραγματικός επιτιθέμενος με πρόσβαση στο home center θα ήταν απίθανο να περιοριστεί σε μία απλή φάρσα με ένα ξυπνητήρι. Μία από τις βασικές λειτουργίες της συσκευής που μελετήσαμε είναι η ενσωμάτωση όλων των «έξυπνων πραγμάτων», έτσι ώστε ο ιδιοκτήτης του σπιτιού να μπορεί να τα διαχειρίζεται από ένα μοναδικό home center. Μία σημαντική λεπτομέρεια είναι πως η αξιολόγηση μας επικεντρώθηκε σε ένα ενεργά χρησιμοποιημένο σύστημα – προηγουμένως, το μεγαλύτερο κομμάτι της έρευνας πραγματοποιήθηκε σε συνθήκες εργαστηρίου.

Ακόμη πιο σημαντικό, οι συσκευές που μελετήσαμε έχουν παραχθεί μαζικά και αναπτύσσονται σε λειτουργικά «έξυπνα» οικιακά δίκτυα. Ευχαριστούμε τη Fibaro για την υπεύθυνη της στάση απέναντι στα ζητήματα που προέκυψαν, όπως ξέρουμε εστιάζουν στην ψηφιακή ασφάλεια, και για το γεγονός ότι κατέστησαν το σπίτι του συναδέλφου μας ακόμη πιο ασφαλές από ό,τι ήταν πριν την έρευνα», δήλωσε ο Pavel Cheremushkin, ερευνητής ασφάλειας στο Kaspersky ICS CERT.

«Η IoT υποδομή απαιτεί ένα πολύπλοκο σύστημα το οποίο θα δουλεύει άπταιστα σε πολλά επίπεδα. Περιλαμβάνει αρκετή εφαρμοστική και αρχιτεκτονική δουλειά. Εκτιμούμε την έρευνα και την προσπάθεια της Kaspersky. Μας βοήθησε να δουλέψουμε στην ασφάλεια των προϊόντων και των υπηρεσιών μας. Μαζί αντιμετωπίσαμε πιθανές αδυναμίες.

Συνιστούμε θερμά στους χρήστες της FIBARO να εγκαθιστούν τις αναβαθμίσεις και να ελέγχουν πάντα αν τα emails είναι σε συμφωνία με τις ανακοινώσεις στην ιστοσελίδα της FIBARO. Οι αναβαθμίσεις αυξάνουν τη λειτουργικότητα του συστήματος, ενώ επίσης καθιστούν δυσκολότερη την προσπάθεια των hackers να αποσπάσουν προσωπικά δεδομένα», δήλωσε ο CPO της Fibaro, Krzysztof Banasiak.

[signoff]

 

Πηγή

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

GigaWiper: Νέο malware κάνει κατάληψη στα Windows και διαγράφει τα πάντα

Νέα έρευνα της Microsoft ασχολήθηκε με το GigaWiper, ένα modular Golang backdoor για Windows, που συνδυάζει την ισχυρή απομακρυσμένη πρόσβαση στον υπολογιστή μας με...

Ο νέος Samsung 990 SSD επαναπροσδιορίζει την ταχύτητα και την ενεργειακή απόδοση

Η αγορά των αποθηκευτικών μέσων υψηλών επιδόσεων μόλις απέκτησε έναν νέο, εξαιρετικά υπολογίσιμο «παίκτη». Η Samsung Electronics προχώρησε στα αποκαλυπτήρια του νέου της Samsung...

Google Pixel 11 Pro: Το Pixel Glow αποκαλύφθηκε επιτέλους σε χρυσό

Η Google δημοσίευσε το πρώτο επίσημο teaser για το Pixel 11 Pro, επιβεβαιώνοντας τη χρυσή απόχρωση και δίνοντας την πρώτη πραγματική εικόνα του Pixel...

Ιστορική πρωτιά: Η Κίνα εμφύτευσε το πρώτο εμπορικό chip σε εγκέφαλο

Η κινεζική εταιρεία νευροτεχνολογίας Neuracle (γνωστή και ως Borui Kang Medical Technology) πραγματοποίησε αυτή την εβδομάδα το πρώτο επιτυχημένο χειρουργικό εμφύτευμα ενός εμπορικού brain-computer...

Microsoft Surface Killer? Στα 619€ το Νέο μου Windows Tablet 13″ 2,5K με Ai επεξεργαστή Intel Core Ultra 5 115U, 16GB DDR5, 1TB nVme...

Προσοχή Ελάχιστα κουπόνια και ΣΤΟΚ (μετρημένα στα δάχτυλα του ενός χεριού) Είχαμε δει την αποσυσκευασία του πριν από περίπου 4 μήνες και το εξαφανίσατε! Μόνο Για...

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Microsoft Surface Killer? Στα 619€ το Νέο μου Windows Tablet 13″ 2,5K με Ai επεξεργαστή Intel Core Ultra 5 115U, 16GB DDR5, 1TB nVme...

Προσοχή Ελάχιστα κουπόνια και ΣΤΟΚ (μετρημένα στα δάχτυλα του ενός χεριού) Είχαμε δει την αποσυσκευασία του πριν από περίπου 4 μήνες και το εξαφανίσατε! Μόνο Για...

Το “Απόλυτο” μηχάνημα Θαλάσσης… Μοτέρ SUP, Καταδυτικό Scooter… Δικά σου όλα… ΤΩΡΑ!!! 2 σε 1 DCCMS DS-720 στα 319€ ΚΟΜΠΛΕ

Μου τα έχετε ζητήσει όλα... ένα - ένα ξεχωριστά και σας τα έφερα όλα μαζί. Το 3 σε 1 DCCMS DS-720 τα κάνει όλα και...

Διακοπές Ρεύματος;;; ΤΕΡΜΑ οι Δικαιολογίες… Φτιάξ’ το ΣΗΜΕΡΑ με Allpowers R600 Power Station στα 212€ ΚΟΜΠΛΕ

Αν ακόμη δεν έχεις κάνει κάτι για να διασφαλίσεις από το "ΚΑΚΟ" ρεύμα τις πανάκριβες συσκευές σου ή ακόμη και την δουλειά σου... με...

Με 30.000 DPI… Razer Pro Click V2, Ασύρματο Gaming Ποντίκι, RGB, Εργονομικό, Ai & Macros και Στην Καλύτερη Τιμή EVER από Ελλάδα (βίντεο)

Όταν κάτι αφορά την δουλειά σου πάνω απ' όλα πάντα προτείνω να διαθέσεις κάτι "παραπάνω" γιατί σίγουρα θα σου τα γυρίσει πίσω πολλές φορές. Έτσι...

Xiaomi MIJIA Youth Edition2S: Ο πιο “ΤΣΑΜΠΑ” Επώνυμος DLP προτζέκτορας είναι εδώ… στα 297€ ΚΟΜΠΛΕ (βίντεο)

Βίντεο Σύγκρισής  Xiaomi MIJIA Youth Edition2S (DLP) VS Wanbo T2 MAX New (LED) Είναι ο 5ος DLP Προτζέκτορας που φέρνω στο κανάλι ανάμεσα σε 10άδες...