Egy vizsgálat során a Kaspersky szakemberei számos kritikus sérülékenységet találtak egy aktív okosotthon-rendszer vezérlőberendezésében. Ilyenek voltak például a felhőinfrastruktúrában talált hibák, valamint az alkalmazások távoli futtathatósága, aminek köszönhetően egy harmadik fél „szuperfelhasználói” hozzáférést szerezhetett a vezérlőhöz, és az okosotthon infrastruktúráját tetszése szerint manipulálhatta. A Kaspersky tájékoztatta megállapításairól a vezérlő gyártóját, a Fibaro vállalatot, amely azonnal intézkedett, és frissítette a biztonsági protokollokat.
A dolgok internetének (IoT) biztonságát vizsgáló első kutatások óta már évek múltak el, ám a dolgok internete azóta is folyamatosan bővül és fejlődik, ezért a kutatások fontossága mit sem változott, hiszen az új termékekkel és megoldásokkal együtt a fenyegetések új dimenziója jelenik meg és veszélyezteti a felhasználók biztonságát. A Kaspersky egyik alkalmazottja arra kérte a vállalat kutatóit, hogy vizsgálják meg a házába beszerelt okosrendszert és hozzáférést biztosított a vezérlőhöz. Azért éppen a vezérlőre esett a választás, mert az kapcsolja össze és felügyeli az okosotthonban végbemenő összes műveletet, és egy sikeres kompromittálás azt jelentené, hogy a kibertámadók bármilyen céllal – a kémkedéstől a lopáson át a fizikai szabotázsig – behatolhatnak a teljes otthoni rendszerbe.
A kutatás első, információgyűjtő szakaszában a szakemberek több potenciális támadási vektort találtak: az otthonok automatizálásához széles körben használt Z-Wave vezeték nélküli kommunikációs protokollban, a kezelőpanel webes felületén és a felhőinfrastruktúrában. Ez utóbbi bizonyult a leghatékonyabbnak a támadás szempontjából: a berendezés felől érkező kérések feldolgozására használt módszerek vizsgálata sérülékenységet tárt fel a hitelesítési folyamatban, továbbá arra is fényt derített, hogy az alkalmazás távolról is futtatható lehet.
Ezek együttesen lehetővé teszik, hogy egy harmadik fél hozzáférést szerezzen az összes Fibaro Home Center Lite vezérlőegységből a felhőbe feltöltött biztonsági mentésekhez, majd a fertőzött biztonsági mentéseket felöltse a felhőbe, és aztán letöltse azokat egy adott vezérlőre annak ellenére, hogy semmilyen jogosultsága nincs a rendszerben.
A kísérlet teljessé tételéhez a Kaspersky szakemberei teszttámadást hajtottak végre a vezérlő ellen. Ehhez egy külön e célra fejlesztett, jelszóval védett szkriptet tartalmazó specifikus biztonsági mentést készítettek. Ezután a felhőn keresztül e-mailt és SMS-t küldtek a vezérlő tulajdonosának, arra kérve őt, hogy frissítse a vezérlő firmware-jét. Az „áldozat” a kérésnek megfelelően letöltötte a fertőzött biztonsági mentést. Ennek köszönhetően a kutatók szuperfelhasználói hozzáférési jogosultságokat szerezhettek az okosotthon vezérlőjéhez, és manipulálni tudták a vezérlőre kapcsolt rendszert. Hogy bizonyítsák a sikeres behatolásukat, a kutatók megváltoztatták az ébresztő által lejátszott dallamot: másnap a Kaspersky alkalmazott hangos drum & bass zenére ébredt.
„Velünk ellentétben egy, az otthon vezérlőközpontjához hozzáféréssel rendelkező igazi támadó valószínűleg nem elégedne meg egy kis ébresztős tréfával. A berendezés általunk tanulmányozott egyik fő feladata az összes „okos dolog” integrálása abból a célból, hogy a ház tulajdonosa egyetlen központi vezérlőegységről kezelhesse őket. Fontos részlet, hogy vizsgálatunk egy aktívan működő rendszerre irányult – korábban a legtöbb kutatást laboratóriumi körülmények között végezték. A kutatás rámutatott, hogy bár egyre tudatosabban kezeljük a dolgok internetének biztonságosságát, még mindig maradtak megoldandó problémák. De még ennél is fontosabb, hogy az általunk tanulmányozott eszközök tömeggyártásban készültek, és működő okosotthoni hálózatokban üzemeltek. Köszönjük a Fibarónak, hogy a kiberbiztonságra összpontosítva ilyen felelős módon állt hozzá a feltárt problémákhoz, és sokkal biztonságosabbá tette kollégánk otthonát annál, mint amilyen a kutatás előtt volt” – mondta Pável Cseremuskin, a Kaspersky ICS CERT biztonsági kutatója.
„Az IoT infrastruktúrához olyan komplikált rendszer szükséges, amely több szinten is zökkenőmentesen működik. Ez rengeteg megvalósítási és architekturális munkával jár. Nagyra értékeljük a Kaspersky kutatását és munkáját, mely segítségünkre volt termékeink és szolgáltatásaink biztonságosságának továbbfejlesztésében. Együttes munkával kiküszöböltük a potenciális sérülékenységeket. Erősen ajánljuk a FIBARO használóinak, hogy telepítsék a frissítéseket, és mindig ellenőrizzék, hogy az e-mailek összhangban vannak-e a FIBARO webhelyén közzétett közleményekkel. Ezek a frissítések javítják a rendszer működését, valamint megnehezítik a hekkerek számára a privát adatok ellopását.” – mondta Krzysztof Banasiak, a FIBARO termékigazgatója.
Az eszközök biztonságban tartásához a következőket ajánljuk a felhasználóknak:
– Amikor döntést hoz arról, hogy élete mely részét teszi egy kicsit okosabbá, vegye figyelembe a biztonsági kockázatokat.
– Egy IoT eszköz beszerzése előtt kutasson az interneten, keressen híreket a sérülékenységekkel kapcsolatban.
– Az új termékekben lévő standard hibák mellett a nemrégiben piacra dobott eszközök esetében felmerülhetnek olyan biztonsági problémák is, amelyeket a kutatók még nem fedeztek fel. Mindezt figyelembe véve a legjobb döntés az olyan termékek vásárlása, amelyek már több szoftverfrissítésen is átestek, szemben a piacra frissen kikerült legújabbakkal.
– Gondoskodjon arról, hogy minden eszközén naprakészen legyenek telepítve a legújabb biztonsági és firmware-frissítések.
– Kezdje el használni a Kaspersky Security Cloud szoftvert, amely a felhasználó online fiókja és az otthoni Wi-Fi hálózatok számára is védelmet nyújt, biztosítva, hogy a privát hálózat valóban privát maradjon: értesíti a felhasználót, ha nem szívesen látott vendégek próbálnak a hálózatra kapcsolódni, ezáltal védi az otthoni IoT eszközöket, és automatikusan értesítést küld a biztonsági fenyegetésekről szakértői tanáccsal együtt, ha intézkedni szükséges.