Heslo k domácí Wi-Fi může prozradit i kávovar

Kávovar, který prozradil heslo k wi-fi, dětská video chůvička ovládaná třetí stranou, nebo domácí zabezpečovací systém spravovaný smartphonem, který lze zmást magnetem.

Tyto případy objevili analytici Kaspersky Lab, když náhodně vybrali a otestovali nejnovější produkty ze světa internetu věcí (IoT) v propojených domácnostech.

V roce 2014 bezpečnostní analytik Kaspersky Lab David Jacoby zkoumal, jak jsou zařízení v jeho obývacím pokoji náchylná k rizikům kybernetického útoku. Zjistil, že téměř všechna byla zranitelná. Tým anti-malware odborníků Kaspersky Lab experiment zopakoval s jediným rozdílem – předešlý výzkum se soustředil na servery připojené k síti, routery a chytré televize, zatímco nejnovější zkoumání se týkalo propojených zařízení dostupných na trhu služeb pro chytré domácnosti. Konkrétně se jednalo o USB zařízení pro přenos videa a zařízení ovládaná chytrým telefonem (IP kamera, kávovar a domácí bezpečnostní systém). Experiment odhalil, že téměř každé z těchto zařízení obsahuje zranitelnosti.

Dětská video chůvička při experimentu dovolila hackerovi připojit se ke kameře, sledovat video a slyšet přenášený zvuk. Stačilo použít stejnou síť, jakou používá vlastník kamery. Jiné kamery od stejného dodavatele umožnily útočníkovi získat majitelova hesla nebo načíst root heslo z kamery a modifikovat její firmware. U kávovaru nebylo nutné, aby byl hacker na stejné síti jako oběť. Zkoumaný přístroj posílal dostatek nezašifrovaných informací na to, aby útočník odhalil heslo majitele kávovaru pro celou jeho wi-fi síť.

Při zkoumání domácího bezpečnostního systému ovládaného smartphonem analytici Kaspersky Lab zjistili, že má pouze drobné nedostatky a je dostatečně zabezpečený, aby odolal kybernetickému útoku. Zranitelnost však nalezli v jednom ze senzorů, které systém používá. Kontaktní senzor je určený k tomu, aby spustil alarm ve chvíli, kdy se otevřou dveře či okno. Funguje na principu detekce magnetického pole vyzařovaného magnetem umístěným na dveřích či okně. V případě otevření pole zmizí a senzor vyšle systému výstražnou zprávu. Analytici Kaspersky použili jednoduchý magnet k nahrazení magnetického pole magnetu na okně. Mohli tak okno otevřít či zavřít, aniž by spustili alarm. Problémem je, že se zranitelnost nachází v samotné konstrukci domácího zabezpečovacího systému, a tudíž ji není možné opravit pomocí softwarové aktualizace. Zařízení s tímto senzorem jsou navíc běžným typem, který používá mnoho domácích bezpečnostních systémů na trhu.

„Náš experiment dokázal, že dodavatelé berou při navrhování zařízení pro internet věcí kybernetickou bezpečnost v potaz. Nicméně jakékoliv propojené, aplikací ovládané zařízení obsahuje zcela jistě alespoň jednu zranitelnost. Útočníci mohou zneužít několik zranitelností najednou a proto je klíčové, aby dodavatelé opravili i ty slabiny, které nejsou kritické. Zranitelnosti by měly být odstraněny před tím, než produkt zamíří na trh. Ve chvíli, kdy je zařízení prodáno tisícům domácností, je již oprava mnohem složitější,“ řekl Victor Alyushin, bezpečnostní analytik Kaspersky Lab.

Analytici Kaspersky Lab doporučují dodržovat několik jednoduchých pravidel ke snížení rizika zranitelností v zařízeních pro chytré domovy:

1. Před pořízením jakéhokoliv IoT zařízení prozkoumat na internetu novinky ohledně zranitelností ve vybraném produktu. Internet věcí je aktuálním tématem a mnoho expertů se zabývá hledáním bezpečnostních slabin v produktech tohoto druhu, od dětských chůviček až po aplikací ovládané pušky. Je velmi pravděpodobné, že vybrané zařízení již bylo prozkoumáno a lze dohledat, zda byly nalezené chyby již opraveny.
2. Nemusí se vyplatit kupovat nejnovější produkty na trhu. Spolu s klasickými „mouchami“, které se v nových zařízeních vyskytují, mohou novinky obsahovat i bezpečnostní slabiny, které zatím nebyly odhaleny. Nejvhodnější je tedy zakoupit produkt, který již prošel několika softwarovými aktualizacemi.
3. Zvážit při výběru chytrých zařízení i případná bezpečnostní rizika. Jestliže se například v domácnosti nachází mnoho věcí vysoké materiální hodnoty, je na místě uvažovat o profesionálním poplašném systému. Ten může nahradit či alespoň doplnit stávající, aplikací řízený domácí bezpečnostní systém. Uživatelé mohou případně nastavit existující systém tak, aby jakékoliv potenciální zranitelnosti neovlivnily jeho fungování. Při výběru zařízení, které bude shromažďovat data o osobním životě, jako je například dětská chůvička, může být vhodné vybrat nejjednodušší radiofrekvenční model. Tedy takový, který pouze přenáší zvukový signál bez internetového připojení.

-of-