Hanyagul kezelik az adatainkat az okosizzók

​Biztonsági kutatók sérülékenységet azonosítottak egy okoseszköznél, amelynek feladata az otthonokban található összes hálózatra csatlakoztatott készülék, illetve szenzor kezelése.
 
hirdetés

Ahogy megállíthatatlanul nő a népszerűsége az internetképes készülékeknek, úgy nő az igény az otthoni okos hubokra is. Ezek feladata, hogy könnyebbé tegyék az otthoni készülékek kezelését, és biztosítsák a felhasználók számára, hogy beállíthassák, illetve irányíthassák azokat egy webes felületen vagy mobil alkalmazáson keresztül.
 
Ugyanakkor szerepükből is eredendően a kiberbűnözők számára kívánatos célpontoknak számítanak ezek a készülékek. A Kaspersky Lab vizsgálata során kiderült egy okos otthoni eszközről, hogy nagy támadási felületet ad a kiberbűnözőknek a nagyon gyenge jelszógeneráló algoritmusának és a nyitott portjainak köszönhetően.
 
A kutatóknak először az szúrt szemet, hogy a vizsgált hub elküldi a felhasználó adatait, amikor kommunikál a szerverrel. Egyebek mellett a felhasználónevet, jelszót, a telefonszámot stb. is. Ugyanakkor ezekhez az adatokhoz a támadók is hozzáférhetnek, akik legitimnek látszó kérésekkel bombázhatják a szervereket. Ehhez ugyan még szükségük van az adott készülék sorozatszámára, de e szakértők szerint ezt nem túl nehéz kideríteni, mivel egy egyszerű algoritmussal generálja ezeket a gyártó.
 
A Kaspersky Lab egyelőre nem kívánta elárulni, hogy mely hubot vizsgálta, de már értesítette a gyártót, hogy az megtehesse a szükséges biztonsági intézkedéseket.
 
"Annak ellenére, hogy az IoT a kiberbiztonsági kutatók fókuszában van már évek óta, még mindig nem kielégítő a védelem. Véletlenszerűen választottuk ki ezt a hubot, de a tény, hogy sérülékeny, sajnos nem számít kivételesnek. A technológia jelen állása szerint úgy tűnik, hogy minden internetre csatlakoztatott készüléknek, még a nagyon egyszerűeknek is, biztonsági problémáik vannak. Például nemrég elemeztünk egy okos villanykörtét. Mégis milyen gondot okozhat egy olyan izzó, amely csupán a világítás színét és néhány egyéb világítással kapcsolatos beállítást képes megváltoztatni okostelefonon keresztül? Nos az izzóról bebizonyosodott, hogy az minden olyan hálózattal kapcsolatban tárol adatokat, amikhez már egyszer csatlakozott. Egyebek mellett WiFi-hez tartozó neveket és jelszavakat is. Mindezt titkosítás nélkül!" - nyilatkozta Vladimir Dashchenko, a Kaspersky Lab ICS CERT kutatócsoportjának vezetője.
 
A szakember szerint kiemelten fontos lenne, hogy a gyártók megfelelő védelmet biztosítsanak a felhasználóik számára, és különös figyelmet fordítsanak a biztonsági követelményeknek már a tervezés és a fejlesztés szakaszában is.
 
A felhasználóknak pedig célszerű rendszeresen ellenőrizniük, hogy a gyártók adtak-e ki hibajavításokat, frissítéseket, amelyeket mielőbb érdemes telepíteni. Sajnos a tapasztalat azt mutatja, hogy az ilyen biztonsági frissítések igencsak lassan jelennek meg, ha egyáltalán valaha elérhetővé válnak.
Vélemények
 
  1. 3

    A Linux Kernel legutóbb feltárt sebezhetőségére elérhetővé vált a megfelelő hibajavítás.

  2. 4

    Az Apache SpamAssassin két sebezhetőséget tartalmaz.

  3. 2

    A Trickbot trójai egy meglehetősen komplex felépítésű kémprogram, amely többféle módon képes értékes adatokhoz juttatni a terjesztőit.

 
Partnerhírek
​Pénzt ígért a webes Word dokumentum

Rafinált megoldást találtak a kiberbűnözők arra, hogy a felhasználókat rávegyék az Emotet trójai telepítésére

​Ötvenezer nyomtatót hackeltek meg egy YouTube sztár kedvéért

A YouTube elsőbbségért folyó virtuális harc nemrég rémisztő hackertámadásban öltött testet: az egyik kiberbűnöző 50 ezer nyomtatót használt arra, hogy kedvenc sztárjának szerezzen plusz feliratkozókat.

hirdetés
Közösség
1