Не викидайте розумні лампочки в сміття, або небезпека IoT

За оцінками аналітиків GlobalData, обсяг ринку IoT-рішень в минулому році склав близько $ 130 млрд. До 2023 року цей показник зросте майже в три рази. Щорічне зростання складає зараз близько 20%. Обсяг же підключених пристроїв до 2020 року складе 20-50 млрд штук.

При цьому близько 90% вивчених експертами розумних пристроїв виявилися погано захищеними. Уразливості багатьох з них не можна усунути, оскільки виробник самого пристрою або якогось з компонентів не випускає оновлень. А якщо й випускає, то далеко не всі користувачі знають про новинку, не кажучи вже про достатній рівень технічних знань для завантаження та оновлення нової прошивки.

Тож злому піддається велика кількість гаджетів. Найчастіше зламуються роутери, камери спостереження, компоненти систем типу «розумний дім».

У січні 2018 року фахівці з інформаційної безпеки з Університету Бен-Гуріона розповіли про перевірку майже двох десятків випадкових розумних пристроїв – популярних гаджетів, куплених у виробника. Як виявилося, переважна більшість зламуються приблизно за півгодини. Найпростіший спосіб отримати доступ до девайсу – підібрати дефолтний пароль.

Розумні гаджети – чому вони небезпечні?

Розумні пристрої становлять небезпеку для бізнесу або приватної особи навіть тоді, коли вони вже викинуті і знаходяться в сміттєвому контейнері. У деяких з них зберігається інформація про доступ до локальних бездротових мереж та інші дані. І якщо раніше зломщики полювали за записами і накопичувачами, які викидають співробітники різних компаній, то зараз може початися полювання та за IoT системами.

Розумні лампочки

Фахівці компанії Limited Results вивчили кілька популярних моделей розумних ламп. Команда дослідників придбала нову лампочку LIFX, підключила її до бездротової мережі. Потім лампочку вимкнули і розібрали.

Після завантаження даних, що зберігаються на лампочці, виявилося, що в дампі є доступи від WiFi мережі, до якої пристрій підключили після покупки. Дані зберігалися у відкритому вигляді. Доступними виявилися навіть кореневий сертифікат і приватний RSA-ключ.

І проблеми не тільки у LIFX, дані завантажували також з інших розумних лампочок.

Термостати

У минулому році популярність здобула новина про злом захищеного (з точки зору кібербезпеки) казино. Зловмисники не зуміли зламати систему «у чоло», тому почали шукати лазівки. Однією з них виявився розумний термостат, який служив для терморегуляції великого акваріума, встановленого в казино.Термостат зламали, увійшовши в бездротову мережу. Після цього зломщики викрали базу даних гравців, які роблять великі ставки, представляючи собою величезний інтерес для інших казино.

Розумні камери

Роберт Ханніган (Robert Hannigan), керівник британського розвідувального агентства GCHQ в 2014-2017 роки, став свідком злому мережі крупного банку. Зловмисники змогли залізти в корпоративну мережу через розумні камери, до яких отримали доступ без особливих зусиль.

До розумних камер можна віднести і відеоняні. Кілька років тому став відомим випадок, коли зловмисник почав шукати підключені до мережі пристрої тільки для того, щоб лякати дітей (наприклад, говорити щось страшним голосом через зовнішній динамік).

Роботи-пилососи

Моделі роботів-пилососів, оснащені камерами, можуть служити надійним інструментом зломщика. Такий девайс дозволяє не тільки отримати доступ до бездротової мережі будинку або офісу, але і підглядати і підслуховувати за тим, що відбувається.

Користувачам можна рекомендувати придбання лише перевірених часом пристроїв, не купувати б / у гаджети (про всяк випадок, раптом попередній власник залишив «подарунок»), вивчати модель гаджета в інтернеті перед покупкою, щоб переконатися, що для нього немає універсального пароля. І більш звичні рекомендації – використовувати складні унікальні паролі, встановлювати оновлення при їх наявності та не викидати ці гаджети у сміття.

Джерело: habr