Ερευνητές ασφαλείας της Kaspersky έχουν αποφασίσει να ρίξουν μια ματιά στις IoT συσκευές και στην έλλειψη μέτρων ασφαλείας τους.
Τα αποτελέσματα του πειράματός τους, για μια ακόμη φορά, επιβεβαιώνουν
ότι οι Internet of Things συσκευές εξακολουθούν να στερούνται καταλλήλων
μέτρων ασφαλείας ακόμα και σήμερα, μετά από τόσα χρόνια κατά τη
διάρκεια των οποίων πολλοί πωλητές ασφάλειας στον κυβερνοχώρο
παραπονιούνται για τα τρωτά σημεία τους.
Στο πιο πρόσφατο πείραμα τους, η Kaspersky επέλεξε τέσσερις τυχαίες
συσκευές IoT, τις οποίες ανέλυσαν προσεκτικά για τυχόν κενά ασφαλείας.
Τα αποτελέσματα είναι λίγο ανησυχητικά δεδομένου ότι όλα τα ελαττώματα
μπορούν να συνδέονται μεταξύ τους και να προσφέρουν στους εγκληματίες
ένα σενάριο επίθεσης το οποίο μπορούν να ακολουθήσουν και να αποκτήσουν
πρόσβαση στα λεγόμενα «smart-homes».
Google Chromecast (USB dongle TV για streaming βίντεο)
Το πρώτο βήμα για τέτοιου είδους επιθέσεις μπορεί να συμβεί, κατά τη
χρησιμοποίηση της περίφημης “rickrolling” ευπάθειας σε συσκευές της Google Chromecast που επιτρέπει στους επιτιθέμενους να επηρεάσουν το περιεχόμενο που παρουσιάζεται σε μια smart TV.
Αυτό μπορεί να είναι χρήσιμο για την εμφάνιση μηνυμάτων σφάλματος που
ξεγελούν τον χρήστη ώστε να πιστέψει ότι πρέπει να αλλάξει τον κωδικό
του Wi-Fi ή
να επαναφέρει τον τοπικό ασύρματο δρομολογητή στις εργοστασιακές
ρυθμίσεις, γεγονός το οποίο μπορεί εύκολα να αξιοποιηθεί από
επιτιθέμενους.
Smart καφετιέρα (ελέγχεται μέσω ενός smartphone app)
Οι ερευνητές της Kaspersky εντόπισαν επίσης μια έξυπνη καφετέρια που μπορεί να εκθέσει τον κωδικό του Wi-Fi του χρήστη.
Η Kaspersky αρνήθηκε να κατονομάσει τη μάρκα και το μοντέλο του
μηχανήματος του καφέ, δεδομένου ότι η ευπάθεια δεν έχει επιδιορθωθεί
ακόμη.
Όπως μπορείτε να φανταστείτε, ο κωδικός του Wi-Fi ενός στόχου μπορεί
να δώσει στους εγκληματίες πρόσβαση σε όλες τις IoT συσκευές ενός
ατόμου, μιας και όλες δουλεύουν και χρησιμοποιούν το δίκτυο Wi-Fi του σπιτιού.
IP κάμερα (που χρησιμοποιούνται σε κάμερες και οθόνες για μωρά)
Στο σενάριο της Kaspersky, μέσω της αξιοποίησης της πρόσβασης που η
καφετιέρα έδωσε τους επιτιθέμενους, εκθέτοντας τον κωδικό πρόσβασης του Wi-Fi, μπορούν στη συνέχεια να κατασκοπεύουν τους ιδιοκτήτες του σπιτιού και να δουν πότε θα φύγουν από το σπίτι τους.
Οι εγκληματίες μπορούν να το κάνουν αυτό με το να συνδεθούν στο τοπικό IP κάμερας, αν υπάρχει, αλλά και σε συσκευές παρακολούθησης μωρού.
Οικιακά συστήματα ασφαλείας
Μόλις οι εγκληματίες μάθουν ότι ο ιδιοκτήτης του σπιτιού δεν είναι
στο σπίτι, μπορούν να αξιοποιήσουν ένα τέταρτο θέμα ασφαλείας που
ανακαλύφθηκε από το προσωπικό της Kaspersky σε έναν ανώνυμο οικιακό
σύστημα ασφαλείας.
Ενώ οι ερευνητές ήταν στην ευχάριστη θέση να διαπιστώσουν ότι το
σύστημα ασφαλείας στο σπίτι ήταν πολύ καλά προστατευμένο από επιθέσεις
λογισμικού, δεν μπορούσαν να πουν το ίδιο για την πλευρά του hardware.
Προφανώς, υπάρχει ένας τρόπος για να ξεγελάσουν τους δύο αισθητήρες,
επαφής και κίνησης, που χρησιμοποιούνται από το σύστημα. Οι ερευνητές
διαπίστωσαν ότι χρησιμοποιώντας έναν πολύ ισχυρό μαγνήτη, οι εισβολείς
θα μπορούσαν να ανοίξουν πόρτες και παράθυρα χωρίς την ενεργοποίηση του
συναγερμού.
Επιπλέον, δεδομένου ότι οι αισθητήρες ανίχνευσης κίνησης δουλεύουν
μόνο με “ζεστά” αντικείμενα, βάζοντας σε κάποια ρούχα που έκρυβαν τη
θερμότητα του σώματος του εγκληματία ήταν αρκετό για να κάνει τους
αισθητήρες να σιωπάσουν.
Το μόνο που χρειάζεται τώρα είναι εγκληματίες που ξέρουν τι πρέπει να ψάξουν.
0 σχόλια:
Δημοσίευση σχολίου