Így járhat, ha nem frissíti az okosizzóit!

​Biztonsági kutatók a Philips okosizzója kapcsán egy olyan sebezhetőséget fedeztek fel, amely a támadók számára ugródeszkaként szolgálhat a hálózatban lévő eszközök ostromlásához.
 

A biztonsági cégek egyre gyakrabban figyelmeztetnek arra, hogy az IoT (Internet of Things) trendek következtében újabb és újabb biztonsági kockázatok ütik fel a fejüket. Első hallásra nem biztos, hogy szörnyen veszélyesnek tűnik, ha valamely, okos otthonokban használt készülékben egy biztonsági hiba található, mivel sokan nem gondolják azt, hogy például egy okos hűtő meghackélésével igazán komoly károkat lehet okozni. Azonban ilyenkor nem csupán arról van szó, hogy egy hacker távolról szabályozza a hűtőt, hanem arról is, hogy adott esetben azon keresztül szabad utat biztosíthat magának érzékeny adatokat tároló és kezelő készülékek vagy akár számítógépek felé. Erre szolgáltatott egy valós példát a Check Point cég, amely a Philips okosizzóinak vizsgálatakor akadt rá egy sebezhetőségre.
 
A biztonsági szakértők egy videót is közzétettek arról, hogy miként lehet egy okosizzó biztonsági hibáján keresztül feltörni egy számítógépet. Ehhez a támadónak arra van szüksége, hogy egy sérülékeny okosizzóhoz hozzá tudjon kapcsolódni, és annak firmware-jét manipulálja. Ettől kezdve vezérelheti az izzót, és elérhetetlenné teheti azt a felhasználó mobil appja számára. Ekkor a felhasználó - mivel mást nem igazán tud tenni - kitörli az appból az izzót, majd újra hozzáadja. Csakhogy ekkor már egy manipulált verzióhoz kapcsolódik, amit a hacker felügyel. Majd a támadás következő fázisában a Smart Hubon keresztül, az arról elérhető számítógépet támadhatja tulajdonképpen bármilyen ismert sebezhetőség kihasználásával. A Check Point kutatói az EternalBlue nevű sérülékenység révén jutottak be egy Windows alapú számítógépbe, amelyen egy Számológépet indítottak el. Nyilván egy valódi támadás során egy feketekalapos hacker ennél jóval több mindent megtehet, például vírussal fertőzheti meg a PC-t, hátsó kaput nyithat azon, vagy adatokat szivárogtathat ki.

 
A Check Point novemberben jelezte a felfedezését a Philips fejlesztőinek, akik a bejelentés kivizsgálását követően megállapították, hogy a sebezhetőség valóban létezik. A biztonsági rést azóta már befoltozták a „1935144040” verziójú firmware kiadásával. A gyártó szerint, amennyiben az automatikus frissítés engedélyezett az érintett okoseszközökön, akkor nincs semmi teendője a felhasználónak. Ellenkező esetben érdemes mielőbb telepíteni a frissítést.
 
A biztonsági cég egyelőre nem tette közzé az általa feltárt sebezhetőség részletes technikai ismertetőjét, így mindössze annyit lehet tudni, hogy a hiba a ZigBee vezeték nélküli technológia (protokoll) nem megfelelő támogatását érintette.
 
A Philips okosizzós afférja jól mutatja, hogy nem célszerű félvállról venni az IoT-biztonságát. Jelen esetben a gyártó orvosolta a hibát, de sajnos nem minden eszközfejlesztő nyújt kellő szintű támogatást az ilyen jellegű helyzetekben, ami további kockázatokat vet fel. Ezért az internethez (vagy akár a helyi hálózathoz) csatlakoztatható eszközök kiválasztásakor érdemes figyelembe venni a biztonsági szempontokat is.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség