System sterujący inteligentnym domem podatny na zdalne ataki

01-03-2018, 13:03

Badacze wykryli luki w zabezpieczeniach systemu wykorzystywanego do zarządzania wszystkimi podłączonymi do niego modułami i czujnikami zainstalowanymi w inteligentnym domu.

Zdalny atakujący może uzyskać dostęp do serwera produktu i pobrać archiwum zawierające dane użytkowników, niezbędne do zdobycia dostępu do ich kont i przejęcia kontroli nad systemami domowymi.

Wraz z ciągłym wzrostem popularności urządzeń połączonych z internetem istnieje duże zapotrzebowanie na centra zawiadujące inteligentnymi domami. Urządzenia te znacznie ułatwiają zarządzanie domem, skupiając w jednym miejscu ustawienia wszystkich urządzeń i umożliwiając użytkownikom zarządzanie swoimi urządzeniami za pośrednictwem interfejsów WWW lub aplikacji mobilnych. Niektóre z nich pełnią nawet funkcję systemu bezpieczeństwa. Z drugiej strony, jako swego rodzaju „łącznik”, tego typu urządzenie stanowi atrakcyjny cel cyberprzestępców, którzy mogą wykorzystać je do przeprowadzenia zdalnych ataków. Podczas nowego badania eksperci odkryli, że konstrukcja nieuwzględniająca kwestii bezpieczeństwa w połączeniu z kilkoma lukami w zabezpieczeniach architektury inteligentnego urządzenia mogą ułatwić przestępcom dostęp do cudzego domu.

Po pierwsze, badacze odkryli, że podczas komunikacji z serwerem centrum wysyła dane użytkownika, łącznie z danymi uwierzytelniającymi logowanie, które są niezbędne w celu uzyskania dostępu do interfejsu WWW inteligentnego centrum – na które składa się identyfikator użytkownika oraz hasło. Można tu wymienić również inne informacje osobowe, takie jak numer telefonu użytkownika wykorzystywany do wysyłania alertów. Zdalny atakujący może pobrać archiwum zawierające te informacje poprzez wysłanie legalnego żądania do serwera, które obejmuje numer seryjny urządzenia. Z analizy wynika, że identyfikację numeru seryjnego umożliwia intruzom wykorzystanie bardzo prostych metod ich generowania.

Według ekspertów numery seryjne można złamać metodą siłową, wykorzystując do tego analizę logiczną, a następnie potwierdzić je za pomocą żądania do serwera. Jeśli urządzenie z danym numerem seryjnym jest zarejestrowane w chmurze, przestępcy otrzymają informacje potwierdzające. Następnie będą mogli zalogować się do konta WWW użytkownika i zarządzać ustawieniami połączonych z centrum czujników i sterowników.

Wszystkie informacje dotyczące wykrytych luk w zabezpieczeniach zostały zgłoszone producentowi i obecnie trwają prace nad usunięciem problemu.

To kolejny dowód na ciągłe problemy dotyczące bezpieczeństwa w świecie Internetu Rzeczy. Obecnie wydaje się, że dosłownie każde urządzenie IoT – nawet to najprostsze – posiada co najmniej jeden problem dotyczący bezpieczeństwa, jak twierdzi Władimir Daszczenko, szef zespołu zajmującego się badaniem luk w Kaspersky Lab. Dla przykładu inteligentna żarówka przechowuje w postaci niezaszyfrowanej wszystkie dane uwierzytelniające sieci Wi-Fi, tj. nazwy i hasła, z którymi żarówka łączyła się wcześniej, więc nawet ona może umożliwić atak na inteligentny dom.

Autor: Piotr Kupczyk, Kaspersky Lab Polska


To warto przeczytać






Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Czerwiec 2018»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.