Levideózták, ahogy a hekker átveszi az irányítást az intelligens izzó felett

2020 / 02 / 13 / Perei Dóra
Levideózták, ahogy a hekker átveszi az irányítást az intelligens izzó felett
Az okosotthonok világszerte egyre népszerűbbek, így egyre többen vásárolnak lakásukba különböző internetre csatlakoztatható háztartási eszközöket. Ám a világnak egyúttal a ténnyel is számolnia kell, hogy ezáltal könnyebben a kiberbűnözők áldozataivá válhatnak.

A Kaspersky Lab szakértői már 2017-ben figyelmeztettek a hálózatra csatlakozó háztartási eszközök és elektromos kütyük sebezhetőségére, mondván azokat sok esetben gyerekjáték feltörni, mivel a gyártók többsége csak olyan alapvető biztonsági szoftverrel látja el őket, amelyek alapértelmezett jelszavakkal rendelkeznek, szoftverfrissítésre pedig nincs lehetőség. Vagyis voltaképp teljesen védtelenek az illetéktelen behatolókkal szemben. Most éppen a Tel Aviv székhelyű Check Point biztonsági cég fedezett fel egy újabb sérülékenységet a Hue okos izzókon. A cég közzétett egy videót, amiben bemutatja, hogyan férkőzik be a hekker az otthoni hálózatba. Az elején az áldozat még teljes kontrollt gyakorol okoseszköze felett, aztán egyszer csak villan párat, ami arra utal, hogy a támadó beférkőzött a rendszerbe.

"Belép az otthoni hálózatunkba, és onnantól kezdve azt tesz, amit csak akar" - mondja Yaniv Balmas, a Check Point igazgatója.

Hozzátette: a támadónak nem kell velünk osztozkodnia sem ugyanazon lakáson vagy irodán, de még csak hálózaton sem; ehelyett egy speciális antenna csatlakoztatása egy laptophoz, akár háromszázharminc méter távolságról is lehetővé teszi a Zigbee rádiófrekvenciás kommunikációjának áttörését a hálózat és a Hue izzók között. A Zigbee egy vezeték nélküli szabvány, ami nemcsak a Check Point, de más kibervédelmi szakemberek szerint is tele van biztonsági résekkel. Bár Balmas úgy véli a Zigbee egy kellően komplex protokoll, az alapvető gond a megvalósításban rejlik.

Új év, régi probléma

Öt évvel ezelőtt a Cognosec biztonsági dolgozói kritikus sebezhetőséget találtak a ZigBee vezeték nélküli kommunikációs szabványában; a mára több száz IoT eszköz által használt technológiában felbukkant biztonsági rést kihasználva támadók az adott hálózaton lévő összes készülék fölött átvehetik az uralmat. A cég közleményében kifejtették a probléma fő forrását, miszerint a szabványt használó eszközök a kapcsolatlétesítés elején egy nem biztonságos kulcsátvitelt végeznek, melynek során

 

a gyártók egy alapértelmezett kulcsot használnak; ennek birtokában a támadók egyszerűen csatlakozhatnak az adott hálózathoz, majd a rajta lévő eszközöket felkutatva irányíthatják is azokat.

A ZigBee hálózatra csatlakozott készülékek ugyanis alkalmazásprofilokat használnak a kommunikációhoz, amin keresztül közvetíthetők a szabvány által definiált parancsok. Ide tartozik a hőmérséklet szabályozás, vagy mondjuk az izzóknál maradva a le- és felkapcsolás. Ezek mind előre meghatározott utasítások, amiket a kiberbűnözők könnyen eltulajdoníthatnak, vagyis ezáltal átvehetik az irányítást az okoseszközök felett. Balmas szerint az elmúlt évek alatt ez a helyzet nem sokat változott. Egy másik lehetséges rizikófaktor, ami a videón is látszik, hogy a felhasználó Windows hetet használ: mindez akkor jelent gondot, ha elmulasztotta a 2019. március tizenkettedikén kiadott biztonsági javítás telepítését. (Mivel a Windows 7 támogatása 2020. január tizennegyedikén lezárult, az eszközök legalább fél évig biztosan nem kapnak újabb javítást.)

(Fotó: Getty Images Hungary)


Autót vennél mostanában? Nézz bele a PLAYER AUTÓTESZT ROVATÁBA!
Minden friss és izgalmas autót kipróbálunk, amit csak tudunk, legyen az dízel vagy elektromos, olcsó vagy luxus, kétszemélyes vagy kisbusz!
Ismerd meg a ROADSTER magazint!
AUTÓK - DESIGN - GASZTRO - KULT - UTAZÁS - TECH // Ha szereted a minőséget az életed minden területén, páratlan élmény lesz!
Ezek is érdekelhetnek
HELLO, EZ ITT A
RAKÉTA
Kövess minket a Facebookon!
A jövő legizgalmasabb cikkeit találod nálunk!
Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.



This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.