A felhőből támadtak okosotthonokat "szuperfelhasználók"

Kritikus sérülékenységet találtak egy aktív okosotthon-rendszer vezérlőberendezésében szakemberek. A támadó távoli hozzáférést szerezhetett a vezérlőhöz, és az okosotthon infrastruktúráját tetszése szerint manipulálhatta.

Elmossa az árrésstopot a recesszió?
Mekkora sebeket ejt rajtunk Donald Trump vámháborúja?

Online Klasszis Klub élőben Jaksity Györggyel!
Vegyen részt és kérdezze Ön is a neves közgazdászt!

2025. április 22. 15:30

A részvétel ingyenes, regisztráljon itt!

A dolgok internetének (IoT) biztonságát vizsgáló első kutatások óta már évek múltak el, ám a dolgok internete azóta is folyamatosan bővül és fejlődik, ezért a kutatások fontossága mit sem változott, hiszen az új termékekkel és megoldásokkal együtt a fenyegetések új dimenziója jelenik meg és veszélyezteti a felhasználók biztonságát.

depositphotos.com

A Kaspersky egyik alkalmazottja arra kérte a vállalat kutatóit, hogy vizsgálják meg a házába beszerelt okosrendszert és hozzáférést biztosított a vezérlőhöz. Azért éppen a vezérlőre esett a választás, mert az kapcsolja össze és felügyeli az okosotthonban végbemenő összes műveletet, és egy sikeres kompromittálás azt jelentené, hogy a kibertámadók bármilyen céllal – a kémkedéstől a lopáson át a fizikai szabotázsig – behatolhatnak a teljes otthoni rendszerbe.

A kutatás első, információgyűjtő szakaszában a szakemberek több potenciális támadási vektort találtak: az otthonok automatizálásához széles körben használt Z-Wave vezeték nélküli kommunikációs protokollban, a kezelőpanel webes felületén és a felhőinfrastruktúrában. Ez utóbbi bizonyult a leghatékonyabbnak a támadás szempontjából: a berendezés felől érkező kérések feldolgozására használt módszerek vizsgálata sérülékenységet tárt fel a hitelesítési folyamatban, továbbá arra is fényt derített, hogy az alkalmazás távolról is futtatható lehet.

Ezek együttesen lehetővé teszik, hogy egy harmadik fél hozzáférést szerezzen

Amikor a védelmet is védeni kell
Az amerikai Phoenixben egyszer csak „megszólalt” a lakóház biztonsági kamerája. A rémült tulajdonos azonban nem riasztást, hanem figyelmeztetést hallott: védje a rendszerét, mert az hozzáférhető.
az összes Fibaro Home Center Lite vezérlőegységből a felhőbe feltöltött biztonsági mentésekhez, majd a fertőzött biztonsági mentéseket felöltse a felhőbe, és aztán letöltse azokat egy adott vezérlőre annak ellenére, hogy semmilyen jogosultsága nincs a rendszerben.

A kísérlet teljessé tételéhez a Kaspersky szakemberei teszttámadást hajtottak végre a vezérlő ellen. Ehhez egy külön e célra fejlesztett, jelszóval védett szkriptet tartalmazó specifikus biztonsági mentést készítettek. Ezután a felhőn keresztül e-mailt és SMS-t küldtek a vezérlő tulajdonosának, arra kérve őt, hogy frissítse a vezérlő firmware-jét.

Az „áldozat” a kérésnek megfelelően letöltötte a fertőzött biztonsági mentést. Ennek köszönhetően a kutatók szuperfelhasználói hozzáférési jogosultságokat szerezhettek az okosotthon vezérlőjéhez, és manipulálni tudták a vezérlőre kapcsolt rendszert. Hogy bizonyítsák a sikeres behatolásukat, a kutatók megváltoztatták az ébresztő által lejátszott dallamot: másnap a Kaspersky alkalmazott hangos drum & bass zenére ébredt.

Velünk ellentétben egy, az otthon vezérlőközpontjához hozzáféréssel rendelkező igazi támadó valószínűleg nem elégedne meg egy kis ébresztős tréfával. A berendezés általunk tanulmányozott egyik fő feladata az összes „okos dolog” integrálása abból a célból, hogy a ház tulajdonosa egyetlen központi vezérlőegységről kezelhesse őket. Fontos részlet, hogy vizsgálatunk egy aktívan működő rendszerre irányult – korábban a legtöbb kutatást laboratóriumi körülmények között végezték.

 

Véleményvezér

A statisztika azt mutatja, hogy mit sem érnek a kormányzati hatósági árak

A statisztika azt mutatja, hogy mit sem érnek a kormányzati hatósági árak 

Árkorlátozás ide, vagy oda, azok mennek felfelé.
2,9 milliárd forintért árulja dubaji luxuslakását a volt jegybankelnök fia

2,9 milliárd forintért árulja dubaji luxuslakását a volt jegybankelnök fia 

Szépen gazdagodott a Matolcsy gyerek.
A cseh kormánypártok Orbán Viktor rémével kampányolnak

A cseh kormánypártok Orbán Viktor rémével kampányolnak 

Orbán Viktort kifejezetten negatív színben tüntetik fel cseh plakátokon.
Kiderült miért vonta vissza vámjait Trump

Kiderült miért vonta vissza vámjait Trump 

A közgazdászok pártállás nélkül visítanak.
180 fokot fordult Orbán Viktor és Donald Trump barátja

180 fokot fordult Orbán Viktor és Donald Trump barátja 

A politikusok némelyike felülmúlja a szélkakasokat.

Info & tech

Cégvezetés & irányítás

Piac & marketing


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo