Chytré domácnosti jsou zranitelné, varují experti

27. 4. 2020. (redaktor: František Doupal, zdroj: Eset)
Jak narůstá počet tzv. chytrých zařízení, přibývá i útoků na ně. Na bezpečnost zařízení se také více zaměřují penetrační testeři. Testeři společnosti ESET odhalili velké množství vážných bezpečnostních zranitelností ve třech různých ovládacích centrech pro chytré domácnosti. Svá zjištění nahlásili výrobcům, kteří již vydali příslušné opravy.

Chytrou domácnost, tedy síť zařízení propojených přes Wi-Fi, uživatel zpravidla kontroluje prostřednictvím nějakého hubu či centrální řídící jednotky. Ty se tak mohou stát zajímavým cílem útoku. Proto se analytici zaměřili na jejich testování. Jmenovitě odhalili zranitelnosti u jednotek Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) a eLAN-RF-003.

Některé nedostatky byly natolik vážné, že je útočník mohl zneužít k provedení útoku man-in-the-middle, odposlechu oběti, vytvoření backdooru nebo k získání oprávnění administrátora zařízení.  V nejhorším možném případě by útočník dokázal získat kontrolu nad centrální jednotkou a k ní připojeným zařízením.

Analytici ESETu všechna zjištění ohlásili výrobcům. Většina odhalených zranitelností již byla opravena, některé ale zůstávají bez příslušné opravy přinejmenším v případě starších generací testovaných zařízení. I proto experti doporučují uživatelům dotčených zařízení stáhnout si nejnovější aktualizace, aby snížili případné riziko.

„Dokazuje to, že zranitelnosti IoT zařízení, jsou stále převládající problém. Výsledky výzkumu dokazují, že chybné nastavení, chybějící šifrování nebo autentizace nejsou problém jen levných či nekvalitních zařízení, ale objevují se i u velmi kvalitního hardwaru,“ řekl Ondrej Kubovič, specialista na digitální bezpečnost, který na výzkumu spolupracoval.

Chyby umožnily řadu útoků

Analytický tým zkoumal různé systémy pro správu připojených zařízení v chytré, neboli IoT, domácnosti.

Jedním z nich byl Fibaro Home Center Lite. Zranitelnosti této centrální jednotky umožnily útočníkovi vytvořit SSH backdoor a získat tak úplnou kontrolu nad zařízením.

Další zařízení, Homematic CCU2 od značky eQ-3, vykazovalo během testování neméně vážnou bezpečnostní chybu. Útočník například mohl provést tzv. remote code execution (RCE) útok. Jedná se spuštění kódu, včetně malware, na dálku. Tato chyba umožňuje útočníkovi získat plný přístup k jednotce a potenciálně i ke všem k ní připojeným zařízením. Chybu řeší bezpečnostní aktualizace od výrobce.

Třetí zranitelnou centrální jednotkou byla RF krabička eLAN-RF-003. Tento systém používal neadekvátní autentizaci a bylo tak možné provádět příkazy bez přihlášení. Útočník mohl přimět zařízení k prozrazení citlivých dat, jako je heslo či detaily konfigurace.

Zranitelnosti populárních chytrých systémů

Během posledního roku odhalil tým analytiků řadu dalších podobných zranitelností v těch nejpopulárnějších zařízeních.

„Mezi nejvážnější patřila zranitelnost systému Amazon Echo prostřednictvím tzv. KRACKu. Bylo možné tak dešifrovat komunikaci mezi uživatelem a jeho asistentkou Alexou. Útočník tak mohl získat citlivé informace,“ popsal jeden z nedávných objevů Kubovič.

Mezi další významné úspěchy týmu ESET patří také odhalení zranitelnosti kamer D-Link. Kvůli nešifrované komunikaci mezi kamerou a webových rozhraním mohl útočník provést útok man-in-the-middle a sledovat tak záznam kamery bez vědomí jejího majitele.

„Všechny naše testy dokazují, že chytré technologie nejsou z pohledu IT bezpečnosti bezchybné. Jejich majitelé by to měli mít na zřeteli a o zabezpečení svých systémů se zajímat. Bohužel na výrobce existuje velký tlak, aby inovovali co nejrychleji. Často tak na kvalitní zabezpečení a otestování není dostatek času. Stojíme tak na začátku velké výzvy,“ uzavřel Kubovič.

Štítky: 
Chytrá domácnost, Bezpečnost, Eset
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Arlo uvádí na náš trh novou řadou chytrých bezpečnostních kamer Essential 2

19. 4. 2024. (redaktor: František Doupal, zdroj: Arlo)
Společnost Arlo oznámila uvedení své nejnovější řady Essential na tuzemský trh. Nová řada zařízení Essential Outdoor, Essential Outdoor XL nabízí bezpečnostní funkce 4 v 1 a vychází vstříc spotřebitelům, kteří se poohlížejí po cenově dostupném řešení pro bezpečnější domov. Essential 2 poskytuje celou řadu nových funkcí a rozlišení 2K nebo 1 080p. Čtěte více

Aplikace Philips Hue Sync TV rozšiřuje spolupráci se Samsung SmartThings a míří do ČR a SR

2. 4. 2024. (redaktor: František Doupal, zdroj: Signify)
Již více než rok si mohou diváci propojit svůj kompatibilní Samsung televizor se svítidly Philips Hue a vytvořit si tak pohlcující atmosféru díky kombinaci interaktivního osvětlení a domácího kina. Aplikace Philips Hue Sync TV bude nově k dispozici také pro uživatele v ČR a SR. Novinkou je také možnost měsíčního předplatného. Čtěte více

Produkty AENO pro moderní chytrou domácnost

21. 3. 2024. (redaktor: Reseller Magazine OnLine, zdroj: ASBIS CZ)
Značka AENO, která je výrobcem elektroniky do domácnosti, je na českém trhu třetím rokem a prodává se již ve více než 30 zemích. Cílem značky je nejen uspokojit zájem uživatelů o nové technologie, ale také jejich estetická přání. Ať už jde o vysavač, nebo mixér, vše by mělo splňovat potřeby uživatele: spotřebovávat méně energie na běžné úkony, fungovat déle a efektivně využívat zdroje. Čtěte více

Robotické vysavače Tapo RV30 a RV30 Plus

6. 3. 2024. (redaktor: Reseller Magazine OnLine, zdroj: TP-Link)
Dokonale čistá podlaha bez velké námahy už není jen sen. Jakmile vpustíte do své domácnosti jeden z nových robotických vysavačů Tapo, za kterými stojí výrobce TP-Link, proměníte představy v realitu. Užiteční pomocníci s hezkým designem navíc ohromí svojí precizností i výkonem. Čtěte více