Εξετάζοντας ένα τυχαίο δείγμα από τα πιο πρόσφατα προϊόντα τεχνολογίας Internet of Things (IoT), οι ερευνητές της Kaspersky ανακάλυψαν σημαντικές απειλές για τα διασυνδεδεμένα σπίτια.
Ανάμεσα στα προϊόντα που εξετάστηκαν, περιλαμβάνονται: μια καφετιέρα που εκθέτει τον κωδικό του Wi–Fi του ιδιοκτήτη του σπιτιού, μια συσκευή βρεφικής παρακολούθησης που μπορεί να πέσει στον έλεγχο κάποιου κακόβουλου τρίτου, καθώς κι ένα σύστημα οικιακής ασφάλειας με δυνατότητα ελέγχου μέσω smartphone, το οποίο μπορεί να εξαπατηθεί μέσω ενός μαγνήτη.
Το 2014, David Jacoby, ειδικός της Kaspersky Lab, αποφάσισε να ερευνήσει ποιες από τις οικιακές συσκευές του θα μπορούσαν να είναι ευπαθείς σε μια ψηφιακή επίθεση. Στο πλαίσιο του πειράματος του, ανακάλυψε ότι σχεδόν όλες τους ήταν ευάλωτες. Μετά από αυτό, το 2015 μια ομάδα της Kaspersky Lab επανέλαβε το πείραμα με μία μικρή διαφορά: ενώ η έρευνα του David εστιάστηκε κυρίως σε διασυνδεδεμένους server, router και smart TV, η τελευταία έρευνα ήταν επικεντρωμένη στις διάφορες «έξυπνες» συσκευές που είναι διαθέσιμες στην αγορά.
Οι συσκευές που επιλέχθηκαν για το πείραμα ήταν οι ακόλουθες: μια συσκευή USB για video streaming, μία IP κάμερα, μία καφετιέρα και ένα σύστημα οικιακής ασφάλειας που ελέγχονται μέσω smartphone. Η έρευνα της Kaspersky ανακάλυψε ότι σχεδόν όλες αυτές οι συσκευές περιλάμβαναν τρωτά σημεία.
Κατά τη διάρκεια του πειράματος, μια κάμερα βρεφικής παρακολούθησης επέτρεψε σε έναν χάκερ που χρησιμοποιούσε το ίδιο δίκτυο με τον ιδιοκτήτη να συνδεθεί με την κάμερα, να παρακολουθήσει βίντεο που είχε εγγραφεί σε αυτή και να τρέξει λειτουργίες ήχου στην ίδια την κάμερα. Άλλες κάμερες του ίδιου κατασκευαστή επέτρεψαν στους χάκερ να συλλέξουν τους κωδικούς πρόσβασης των ιδιοκτητών. Επίσης, το πείραμα έδειξε ότι ήταν πιθανό για έναν χάκερ να ανακτήσει τον κωδικό πρόσβασης από την κάμερα και να μεταβάλει κακόβουλα το firmware της.
Όσον αφορά στις έξυπνες καφετιέρες που ελέγχονται μέσω εφαρμογών, δεν είναι καν αναγκαίο για τον χάκερ να βρίσκεται στο ίδιο δίκτυο με το θύμα. Η καφετιέρα που εξετάστηκε κατά τη διάρκεια του πειράματος έστελνε τόσες μη κρυπτογραφημένες πληροφορίες, που ήταν αρκετές για να ανακαλύψει ένας εισβολέας τον κωδικό πρόσβασης για το Wi–Fi δίκτυο του ιδιοκτήτη της.
Κατά την εξέταση οικιακού συστήματος ασφάλειας που ελέγχεται μέσω smartphone, οι ερευνητές της Kaspersky Lab ανακάλυψαν ότι το λογισμικό του συστήματος είχε απλώς μικρά θέματα και ήταν αρκετά ασφαλές για να αντισταθεί σε μια ψηφιακή επίθεση. Ευπάθεια όμως εντοπίστηκε σε έναν από τους αισθητήρες που χρησιμοποιούνται από το σύστημα.
Ο αισθητήρας επαφής, ο οποίος έχει σχεδιαστεί για να θέτει σε λειτουργία το συναγερμό όταν ανοίγει μια πόρτα ή ένα παράθυρο, λειτουργεί με τον εντοπισμό ενός μαγνητικού πεδίου που εκπέμπεται από ένα μαγνήτη τοποθετημένο στην πόρτα ή το παράθυρο. Όταν ανοίγει η πόρτα ή το παράθυρο, το μαγνητικό πεδίο εξαφανίζεται, με αποτέλεσμα ο αισθητήρας να στέλνει μηνύματα συναγερμού στο σύστημα. Ωστόσο, αν το μαγνητικό πεδίο παραμένει στη θέση του, δεν θα πρέπει να στέλνονται ειδοποιήσεις συναγερμού.
Κατά τη διάρκεια του πειράματος για το οικιακό σύστημα ασφάλειας, οι ειδικοί της Kaspersky Lab μπόρεσαν να χρησιμοποιήσουν έναν απλό μαγνήτη για να αντικαταστήσουν το μαγνητικό πεδίο του μαγνήτη στο παράθυρο.
Αυτό σήμαινε ότι θα μπορούσαν να ανοίξουν και να κλείσουν ένα παράθυρο χωρίς να ενεργοποιηθεί ο συναγερμός. Το μεγάλο πρόβλημα με αυτό το ζήτημα ευπάθειας είναι ότι είναι αδύνατο να διορθωθεί με μια ενημέρωση λογισμικού. Το θέμα έγκειται στον σχεδιασμό του ίδιου του συστήματος ασφάλειας. Το πιο ανησυχητικό είναι ότι οι συσκευές που βασίζονται σε αισθητήρες μαγνητικού πεδίου είναι ένας κοινός τύπος αισθητήρων, που χρησιμοποιείται σε πολλά συστήματα που κυκλοφορούν στην αγορά.
«Το πείραμά μας έδειξε ότι οι περισσότεροι πάροχοι «έξυπνων» συσκευών δίνουν βαρύτητα στο ζήτημα της ψηφιακής ασφάλειας, όταν αναπτύσσουν προϊόντα IoT. Παρόλα αυτά, κάθε συνδεδεμένη και ελεγχόμενη από εφαρμογή συσκευή, είναι σχεδόν βέβαιο ότι θα έχει τουλάχιστον ένα ζήτημα ασφάλειας. Οι εγκληματίες θα μπορούσαν να εκμεταλλευτούν αρκετά από αυτά. Γι’ αυτό το λόγο, είναι σημαντικό όλα αυτά τα θέματα να διορθωθούν – ακόμη κι εκείνα που δεν είναι κρίσιμα. Οι ευπάθειες αυτές πρέπει να διορθώνονται πριν την κυκλοφορία ενός προϊόντος στην αγορά, καθώς μπορεί να είναι πολύ πιο δύσκολο να διορθωθεί ένα πρόβλημα όταν μια συσκευή έχει ήδη πωληθεί σε χιλιάδες ιδιοκτήτες», δήλωσε ο Victor Alyushin, Ερευνητής Ασφάλειας της Kaspersky Lab.
Για να προστατεύσουν τη ζωή και τα αγαπημένα τους πρόσωπα από τους κινδύνους των ευπαθειών σε «έξυπνες» IoT οικιακές συσκευές, καλό είναι οι καταναλωτές να ακολουθούν τις παρακάτω απλές συμβουλές των ειδικών της Kaspersky Lab:
- Πριν την αγορά οποιασδήποτε IoT συσκευής, αναζητήστε στο Διαδίκτυο ειδήσεις για τυχόν τρωτά σημεία της εν λόγω συσκευής. Το IoT είναι ένα «καυτό» θέμα και πολλοί ερευνητές κάνουν εξαιρετική δουλειά στην εξεύρεση των ζητημάτων ασφάλειας που αντιμετωπίζουν αυτά τα προϊόντα (από βρεφικά μόνιτορ μέχρι όπλα που ελέγχονται μέσω εφαρμογών). Είναι πολύ πιθανό η συσκευή που πρόκειται να αγοράσετε να έχει ήδη εξεταστεί από τους ερευνητές ασφάλειας και είναι εφικτό να διαπιστώσετε κατά πόσον τα θέματα που βρέθηκαν στη συσκευή έχουν επιδιορθωθεί.
- Δεν είναι πάντοτε καλή ιδέα να αγοράζετε προϊόντα που έχουν κυκλοφορήσει πρόσφατα. Μαζί με τα τυποποιημένα σφάλματα που «συνοδεύουν» συχνά τα νέα προϊόντα, οι συσκευές που λανσαρίστηκαν πρόσφατα ενδέχεται να αντιμετωπίζουν ζητήματα ασφάλειας που δεν έχουν ανακαλυφθεί ακόμη από τους ερευνητές ασφάλειας. Η καλύτερη συμβουλή στην προκειμένη περίπτωση είναι να αγοράσετε προϊόντα που έχουν ήδη περάσει αρκετές ενημερώσεις λογισμικού.
- Όταν διαλέγετε ποιο κομμάτι της ζωής σας θα κάνετε λίγο πιο «έξυπνο», εξετάστε τους κινδύνους ασφάλειας. Αν το σπίτι σας είναι το μέρος που αποθηκεύετε πολλά αντικείμενα υλικής αξίας, είναι ίσως μια καλή ιδέα να επιλέξετε ένα επαγγελματικό σύστημα συναγερμού, που μπορεί να αντικαταστήσει ή να συμπληρώσει τα ήδη υπάρχοντα και ελεγχόμενα μέσω εφαρμογών συστήματα συναγερμού στο σπίτι σας. Μπορείτε επίσης να ρυθμίσετε το υπάρχον σύστημα κατά τέτοιο τρόπο, ώστε οι πιθανές ευπάθειες να μην επηρεάζουν τη λειτουργία του. Όταν επιλέγετε μια συσκευή που θα συλλέγει πληροφορίες για την προσωπική σας ζωή και τη ζωή της οικογένειάς σας (π.χ. ένα βρεφικό μόνιτορ), θα ήταν ίσως συνετό να επιλέξετε το πιο απλό μοντέλο ασυρμάτου στην αγορά, το οποίο είναι μόνο σε θέση να εκπέμπει ένα ηχητικό σήμα, χωρίς να συνδέεται στο Διαδίκτυο. Αν αυτό δεν αποτελεί επιλογή για εσάς, τότε ακολουθήστε την πρώτη συμβουλή και επιλέξτε με σύνεση.
Περισσότερες λεπτομέρειες είναι διαθέσιμες στον ιστότοπο της Kaspersky Securelist.com.