Hanyagul kezelik az adatainkat az okosizzók

​Biztonsági kutatók sérülékenységet azonosítottak egy okoseszköznél, amelynek feladata az otthonokban található összes hálózatra csatlakoztatott készülék, illetve szenzor kezelése.
 

Ahogy megállíthatatlanul nő a népszerűsége az internetképes készülékeknek, úgy nő az igény az otthoni okos hubokra is. Ezek feladata, hogy könnyebbé tegyék az otthoni készülékek kezelését, és biztosítsák a felhasználók számára, hogy beállíthassák, illetve irányíthassák azokat egy webes felületen vagy mobil alkalmazáson keresztül.
 
Ugyanakkor szerepükből is eredendően a kiberbűnözők számára kívánatos célpontoknak számítanak ezek a készülékek. A Kaspersky Lab vizsgálata során kiderült egy okos otthoni eszközről, hogy nagy támadási felületet ad a kiberbűnözőknek a nagyon gyenge jelszógeneráló algoritmusának és a nyitott portjainak köszönhetően.
 
A kutatóknak először az szúrt szemet, hogy a vizsgált hub elküldi a felhasználó adatait, amikor kommunikál a szerverrel. Egyebek mellett a felhasználónevet, jelszót, a telefonszámot stb. is. Ugyanakkor ezekhez az adatokhoz a támadók is hozzáférhetnek, akik legitimnek látszó kérésekkel bombázhatják a szervereket. Ehhez ugyan még szükségük van az adott készülék sorozatszámára, de e szakértők szerint ezt nem túl nehéz kideríteni, mivel egy egyszerű algoritmussal generálja ezeket a gyártó.
 
A Kaspersky Lab egyelőre nem kívánta elárulni, hogy mely hubot vizsgálta, de már értesítette a gyártót, hogy az megtehesse a szükséges biztonsági intézkedéseket.
 
"Annak ellenére, hogy az IoT a kiberbiztonsági kutatók fókuszában van már évek óta, még mindig nem kielégítő a védelem. Véletlenszerűen választottuk ki ezt a hubot, de a tény, hogy sérülékeny, sajnos nem számít kivételesnek. A technológia jelen állása szerint úgy tűnik, hogy minden internetre csatlakoztatott készüléknek, még a nagyon egyszerűeknek is, biztonsági problémáik vannak. Például nemrég elemeztünk egy okos villanykörtét. Mégis milyen gondot okozhat egy olyan izzó, amely csupán a világítás színét és néhány egyéb világítással kapcsolatos beállítást képes megváltoztatni okostelefonon keresztül? Nos az izzóról bebizonyosodott, hogy az minden olyan hálózattal kapcsolatban tárol adatokat, amikhez már egyszer csatlakozott. Egyebek mellett WiFi-hez tartozó neveket és jelszavakat is. Mindezt titkosítás nélkül!" - nyilatkozta Vladimir Dashchenko, a Kaspersky Lab ICS CERT kutatócsoportjának vezetője.
 
A szakember szerint kiemelten fontos lenne, hogy a gyártók megfelelő védelmet biztosítsanak a felhasználóik számára, és különös figyelmet fordítsanak a biztonsági követelményeknek már a tervezés és a fejlesztés szakaszában is.
 
A felhasználóknak pedig célszerű rendszeresen ellenőrizniük, hogy a gyártók adtak-e ki hibajavításokat, frissítéseket, amelyeket mielőbb érdemes telepíteni. Sajnos a tapasztalat azt mutatja, hogy az ilyen biztonsági frissítések igencsak lassan jelennek meg, ha egyáltalán valaha elérhetővé válnak.
Vélemények
 
  1. 3

    Az RSA Authentication Manager több olyan hibát tartalmaz, amelyek XSS-alapú támadásokat tehetnek lehetővé.

  2. 3

    Az Apache HTTPD biztonsági hibája szolgáltatásmegtagadási támadásokat segíthet elő.

  3. 1

    A Zexlex trójainak egy célja van: szabad bejárást biztosítani a támadók számára a fertőzött számítógépekbe.

Partnerhírek
Kézzel írták a járatinformációkat - zsarolóvírus miatt

​Zsarolóvírusos támadás miatt a bristoli repülőtér utastájékoztató információs táblái nem működtek, helyette kézzel írott információs táblákon tájékoztatták az utasokat.

Egyszerűen feltörhető a gyenge jelszóval védett wifi hálózat

Relatíve egyszerűen feltörhető a wifi hálózatok jelszava, ezért a következő szabvány érkezéséig azt javasoljuk, mindenki hosszabb és bonyolultabb jelszóval védje helyi hálózatát.

hirdetés
Közösség
1