A Gartner előrejelzései szerint pár éven belül 50 milliárd eszköz lesz hálózatba kapcsolva. Az ezeken az eszközökön alapuló Internet of Things (IoT), azaz a Dolgok Internete már jelenleg is komoly kihívást jelent a biztonsági szakembereknek, ráadásul az egyre elterjedtebb otthoni okoseszközök felhasználói sincsenek biztonságban. Az ESET szakemberei összegyűjtötték a lehetséges veszélyeket, és néhány ezzel kapcsolatos tanulságos friss incidenst.
Az otthonokat is érintő, hálózatba kapcsolt eszközök esetében az egyik legfrissebb incidens a nemrégiben kipattant VPNFilter sebezhetőség, amelyet kihasználva 500 ezer útválasztót fertőztek meg a kibertámadók. A szakemberek a routerek újraindítását és a firmware frissítését tanácsolták a felhasználók számára, de érdemes belegondolni: vajon hány helyen történt meg a teljes hibajavítás, firmware-csere, az adminjelszó megváltoztatása, és hány helyen nem.
Az olyan alapvető biztonsági intézkedések hiánya, mint a nyers szövegben (clear text) utazó adatok, a hitelesítés elmaradása, a nem létező brute force támadás (teljes kipróbálás módszere) elleni védelem, a titkosítatlan kommunikáció, a törölhetetlen profilok vagy a teljességgel hiányzó hibajavító frissítések komoly veszélyeket jelentenek.
Gyenge pont lehet például egy robotporszívó is
A háztartási gép ugyanis 360 fokos kamerával rendelkezik, és feltörése révén a bűnözők teljes képet kaphatnak az adott otthonról vagy irodáról – ahogy néhány esetben ez már elő is fordult. A Positive Technologies biztonsági szakértői például olyan biztonsági hiányosságokat találtak a Dongguan Diqee 360 robotporszívóban, melyek kihasználásával a támadók képesek távolról átvenni a készülék irányítását, beleértve az éjjellátó kamera és a mikrofon vezérlését is.
Ugyanez a helyzet a többi kamerás eszközzel is, ezért a használaton kívüli kamerát (legyen az tablet, laptop, játékkonzol vagy éppen okostelevízió) érdemes lehet időlegesen fizikailag is lefedni, leragasztani vagy letakarni.
A hang is árulkodó lehet
A kamerával rendelkező eszközök mellett az audioeszközök is rejthetnek biztonsági kockázatot. Alig két hónapja történt az az incidens, amelyben az Amazon Alexa egy kihallgatott családi magánbeszélgetést közvetített ki illetéktelen személyeknek észrevétlenül és önhatalmúlag. A cég védekezése szerint az Alexa virtuális asszisztens állítólag a beszédből kihallotta a saját nevét (ezzel megszólítva kérhetünk, vagy kérdezhetünk tőle), valamint ugyancsak állítólag kihallotta a „send message” parancsot és a címzett nevét is. A magyarázatot az érintett család tételesen cáfolta, állításuk szerint semmilyen parancsot nem adtak ki, szerintük az incidens sokkal inkább valamilyen más hiba miatt következhetett be.
Szupertitkos katonai bázisok a futóalkalmazásban
Azt, hogy a jövőben egészen újfajta hozzáállásra van szükség, két másik incidens is kiválóan demonstrálja. Idén januárban derült ki, hogy titkos katonai bázisok pontos helyszínét leplezte le véletlenül a Strava fitneszalkalmazás. Az anonim statisztikák, amelyek a katonák által óvatlanul kerültek megosztásra, a nyilvánosságra hozott hőtérképeken a futóútvonalak révén egyértelműen beazonosíthatóvá tették a többi között Szíriában és Irakban található katonai bázisokat.
Adatlopás az akváriumból
A másik esetnél pedig egy meg nem nevezett észak-amerikai kaszinóból lopták el a támadók az adatbázist, a hallban található akvárium okoshőmérőjének feltörésével. A kiberbűnözők a kompromittált eszközön keresztül jutottak be a hálózatba, és töltötték fel a felhőbe az adatállományt.
A szakemberek szerint a felhasználóknak érdemes alaposan átgondolni az okoseszközök használatát, a gyártóknak pedig a hosszú távú biztonságos működés alapoktól való betervezését is be kell vezetniük a gyártás folyamatába.