Analytici bezpečnostnej spoločnosti ESET objavili zraniteľnosti v troch ovládacích centrách inteligentnej domácnosti. Potenciálni útočníci ich mohli zneužiť na získanie kontroly nad zariadeniami, vzdialené spustenie kódu alebo odpočúvanie.
Chyby sa týkali centier Fibaro Home Center Lite, Homematic Central Control Unit a eLAN-RF-003, ktoré sa používajú v domácnostiach a malých podnikoch. Slúžia na reguláciu teploty a osvetlenia alebo ovládanie bezpečnostných kamier. Dostupné boli aj v predajniach na Slovensku.
Zraniteľnosti vo Fibaro Home Center Lite umožnili útočníkom vytvoriť zadné vrátka, prostredníctvom ktorých mohli získať plnú kontrolu nad riadiacim centrom. Zariadenie navyše používalo slabú hešovaciu funkciu pre heslá používateľov a cez API rozhranie jeho meteorologickej služby unikali GPS súradnice.
V prípade Homematic Central Control Unit útočníci mohli prevziať kontrolu nad ním a všetkými zariadeniami, ktoré boli k nemu pripojené, pomocou vzdialeného spustenia kódu.
Krabička eLAN-RF-003 od českého výrobcu naopak nevyžadovala dostatočnú autentifikáciu. ESET demonštroval chybu na API rozhraní centra, ku ktorému sa pripojil cez webový prehliadač bez toho, aby od neho žiadal prihlasovacie údaje. Potenciálny útočník mohol takýmto spôsobom získať konfiguračný súbor s heslami od účtov alebo získať prehľad o pripojených zariadeniach a ich nastavení.
„Náš výskum dokazuje, že chybné nastavenia, absentujúce šifrovanie alebo autentifikácia nie sú problémom len lacných alebo nekvalitných zariadení, ale objavujú sa aj vo veľmi kvalitnom hardvéri. Všetky naše testy dokazujú, že smart technológie nie sú z pohľadu IT bezpečnosti bezchybné. Ich majitelia by na to mali myslieť a o zabezpečenie svojich systémov by sa mali zaujímať,“ zhodnotil odborník na digitálnu bezpečnosť, Ondrej Kubovič.
ESET sa už pred časom skontaktoval s výrobcami zariadení a zraniteľnosti im nahlásil. Napriek tomu, že na väčšinu chýb už výrobcovia vydali záplaty, ESET odporúča používateľom pravidelne aktualizovať svoje zariadenia, prípadne zistiť, či ich výrobca vôbec vydáva bezpečnostné aktualizácie.
(AP)