A Kaspersky Lab szakértői már 2017-ben figyelmeztettek a hálózatra csatlakozó háztartási eszközök és elektromos kütyük sebezhetőségére, mondván azokat sok esetben gyerekjáték feltörni, mivel a gyártók többsége csak olyan alapvető biztonsági szoftverrel látja el őket, amelyek alapértelmezett jelszavakkal rendelkeznek, szoftverfrissítésre pedig nincs lehetőség. Vagyis voltaképp teljesen védtelenek az illetéktelen behatolókkal szemben. Most éppen a Tel Aviv székhelyű Check Point biztonsági cég fedezett fel egy újabb sérülékenységet a Hue okos izzókon. A cég közzétett egy videót, amiben bemutatja, hogyan férkőzik be a hekker az otthoni hálózatba. Az elején az áldozat még teljes kontrollt gyakorol okoseszköze felett, aztán egyszer csak villan párat, ami arra utal, hogy a támadó beférkőzött a rendszerbe.

"Belép az otthoni hálózatunkba, és onnantól kezdve azt tesz, amit csak akar" - mondja Yaniv Balmas, a Check Point igazgatója.

Hozzátette: a támadónak nem kell velünk osztozkodnia sem ugyanazon lakáson vagy irodán, de még csak hálózaton sem; ehelyett egy speciális antenna csatlakoztatása egy laptophoz, akár háromszázharminc méter távolságról is lehetővé teszi a Zigbee rádiófrekvenciás kommunikációjának áttörését a hálózat és a Hue izzók között. A Zigbee egy vezeték nélküli szabvány, ami nemcsak a Check Point, de más kibervédelmi szakemberek szerint is tele van biztonsági résekkel. Bár Balmas úgy véli a Zigbee egy kellően komplex protokoll, az alapvető gond a megvalósításban rejlik.

Új év, régi probléma

Öt évvel ezelőtt a Cognosec biztonsági dolgozói kritikus sebezhetőséget találtak a ZigBee vezeték nélküli kommunikációs szabványában; a mára több száz IoT eszköz által használt technológiában felbukkant biztonsági rést kihasználva támadók az adott hálózaton lévő összes készülék fölött átvehetik az uralmat. A cég közleményében kifejtették a probléma fő forrását, miszerint a szabványt használó eszközök a kapcsolatlétesítés elején egy nem biztonságos kulcsátvitelt végeznek, melynek során

a gyártók egy alapértelmezett kulcsot használnak; ennek birtokában a támadók egyszerűen csatlakozhatnak az adott hálózathoz, majd a rajta lévő eszközöket felkutatva irányíthatják is azokat.

A ZigBee hálózatra csatlakozott készülékek ugyanis alkalmazásprofilokat használnak a kommunikációhoz, amin keresztül közvetíthetők a szabvány által definiált parancsok. Ide tartozik a hőmérséklet szabályozás, vagy mondjuk az izzóknál maradva a le- és felkapcsolás. Ezek mind előre meghatározott utasítások, amiket a kiberbűnözők könnyen eltulajdoníthatnak, vagyis ezáltal átvehetik az irányítást az okoseszközök felett. Balmas szerint az elmúlt évek alatt ez a helyzet nem sokat változott. Egy másik lehetséges rizikófaktor, ami a videón is látszik, hogy a felhasználó Windows hetet használ: mindez akkor jelent gondot, ha elmulasztotta a 2019. március tizenkettedikén kiadott biztonsági javítás telepítését. (Mivel a Windows 7 támogatása 2020. január tizennegyedikén lezárult, az eszközök legalább fél évig biztosan nem kapnak újabb javítást.)

(Fotó: Getty Images Hungary)