Až v troch rôznych ovládacích centrách pre smart domácnosti odhalili analytici veľké množstvo vážnych bezpečnostných zraniteľností, informuje spoločnosť ESET. Konkrétne ide o modely Fibaro Home Center Lite, eLAN-RF-003 a HomeMatic Central Control Unit (CCU2), ktoré slúžia na vzdialené ovládanie teploty, osvetlenia, bezpečnostných kamier a spínania elektrospotrebičov v byte alebo vo firme.
V dôsledku zraniteľností mohli útočníci zneužiť niektoré z týchto chýb útoky typu man-in-the-middle, dokonca odpočúvanie obetí, vytvorenie backdooru alebo k získaniu administrátorských oprávnení do zariadenia. Najhorším scenárom mohlo byť dokonca získanie kontroly nad ovládacím centrom a prístup k zariadeniam, ktoré boli k nemu pripojené.
„Zraniteľnosti takzvaných IoT zariadení predstavujú prevládajúci problém. Náš výskum dokazuje, že chybné nastavenia, absentujúce šifrovanie alebo autentifikácia nie sú problémom len lacných alebo nekvalitných zariadení, ale objavujú sa aj vo veľmi kvalitnom hardvéri,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť zo spoločnosti ESET.
-
Fibaro Home Center Lite obsahovalo mix závažných zraniteľností. Jedna kombinácia chýb umožňovala dokonca útočníkom vytvoriť SSH backdoor a získať tak plnú kontrolu nad zariadením.
-
Smart home krabička eLAN-RF-003 nevyžadovala dostatočnú autentifikáciu - na manipuláciu s pripojenými domácimi alebo firemnými zariadeniami nevyžadovala prihlásenie používateľa.
- Ovládacie centrum Homematic CCU2 obsahovalo chyby umožňujúce RCE útok, teda vzdialené spustenie kódu, vrátane malvéru, na diaľku. Táto chyba umožňovala útočníkom získať plný prístup k ovládaciemu centru i ku všetkým zariadeniam, ktoré k nemu boli pripojené.
Čo ďalej?
Analytici oznámili všetky zraniteľnosti spomínaným výrobcom. Väčšinu z nich výrobcovia opravili, niektoré však v prípade starších generácií testovaných zariadení zostávajú funkčné. Aj preto ESET odporúča majiteľom týchto zariadení stiahnuť si najnovšie aktualizácie na tieto ovládacie centrá. Opravy bezpečnostných chýb sa totiž na zariadeniach prejavia až po aktualizácii ich firmvéru.
Používatelia iných smart home riadiacich jednotiek by však mali taktiež pravidelne aktualizovať firmér svojich zariadení, prípadne by mali zistiť, či výrobca aktualizácie vôbec poskytuje.
„Všetky naše testy dokazujú, že smart technológie nie sú z pohľadu IT bezpečnosti bezchybné. Ich majitelia by na to mali myslieť a o zabezpečenie svojich systémov by sa mali zaujímať. Bohužiaľ, na výrobcov je vyvíjaný veľký tlak, aby inovovali čo najrýchlejšie. Často preto nemajú na kvalitné zabezpečenie a testovanie dostatok času. Stojíme tak na prahu veľkej výzvy,“ uzatvára Kubovič.