Analytici bezpečnostnej spoločnosti ESET odhalili vážne bezpečnostné chyby v troch ovládacích centrách smart home:
- Fibaro Home Center Lite
- eLAN-RF-003
- HomeMatic Central Control Unit
Tieto zariadenia slúžia na vzdialené ovládanie teploty, osvetlenia, bezpečnostných kamier a spínania elektrospotrebičov. Všetky tri modely sa stále predávajú aj na slovenskom trhu.
Bezpečnostné chyby mohli byť zneužité viacerými spôsobmi. Mohlo ísť o odpočúvanie, vytvorenie backdoooru a dokonca o získanie administrátorských oprávnení do zariadenia. Útočníci mohli získať kontrolu nad ovládacím centrom a zariadeniami, ktoré s ním spolupracujú.
“Zistili sme, že zraniteľnosti takzvaných IoT zariadení predstavujú prevládajúci problém. Náš výskum dokazuje, že chybné nastavenia, absentujúce šifrovanie alebo autentifikácia nie sú problémom len lacných alebo nekvalitných zariadení ale objavujú sa aj vo veľmi kvalitnom hardvéri,“
Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET
Výrobcovia zariadení už boli o chybách informovaní. Väčšina zraniteľností už bola opravená, no niektoré zostali. Ide o tie, ktoré sa nachádzajú v starších zariadeniach, ktoré už nemajú podporu od výrobcu. Ak vlastníte niektoré zo spomínaných zariadení, odporúčame aktualizovať jeho softvér na najnovšiu možnú verziu, ktorá už obsahuje záplaty bezpečnostných chýb.
- Shelly Smart Home: Cenovo dostupné zariadenia, ktorým stačí len Wi-Fi pripojenie
- Test Google Home Mini: Dlhodobé skúsenosti so skvelým pomocníkom
- Google Nest Hub ako mozog smart home | Skúsenosti po roku používania
Závažné zraniteľnosti smart home zariadení
Fibaro Home Center Lite obsahovalo viacero závažných zraniteľností. Útočníci mohli vďaka týmto chybám získať plnú kontrolu nad zariadením. Krabička eLAN-RF-003 zase nevyžadovala overenie používateľa, to znamená, že ju bolo možné ovládať aj bez prihlásenia. Ovládacie centrum Homematic bolo postihnuté tak, že útočníkom umožňovalo vzdialené spustenie kódu (aj malvéru). Útočníci tak mohli získať plný prístup k ovládaciemu centru a všetkým zariadeniam, ktoré boli pripojené.
„Všetky naše testy dokazujú, že smart technológie nie sú z pohľadu IT bezpečnosti bezchybné. Ich majitelia by na to mali myslieť a o zabezpečenie svojich systémov by sa mali zaujímať. Bohužiaľ, na výrobcov je vyvíjaný veľký tlak, aby inovovali čo najrýchlejšie. Často preto nemajú na kvalitné zabezpečenie a testovanie dostatok času. Stojíme tak na prahu veľkej výzvy,“
Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET
