Okosotthonba néztek be az etikus hackerek
Egy vizsgálat során biztonsági szakemberek számos kritikus sérülékenységet találtak egy okosotthont vezérlő rendszerben.
A dolgok internetének (IoT) biztonságát ellenőrző első vizsgálatok óta már évek teltek el, ám a kutatások fontossága mit sem változott. Az új termékekkel és megoldásokkal együtt új fenyegetettségek jelennek meg.
A Kaspersky egyik alkalmazottja arra kérte a vállalat kutatóit, hogy vizsgálják meg a saját házába beszerelt okosrendszert, különösen az azt vezérlő készüléket. Azért éppen a vezérlőre esett a választás, mert az kapcsolja össze és felügyeli az okosotthonban végbemenő összes műveletet, és egy sikeres támadás azt jelentené, hogy a kiberbűnözők a kémkedéstől az adatlopáson át a fizikai szabotázsig mindent megtehetnek.
A kutatás első, információgyűjtő szakaszában a szakemberek több potenciális támadási vektort találtak: az otthonok automatizálásához széles körben használt Z-Wave vezeték nélküli kommunikációs protokoll támogatásában, a kezelőpanel webes felületén és a felhőinfrastruktúrában. Ez utóbbi bizonyult a leggyengébb láncszemnek. Nem volt megfelelő a hitelesítési folyamat, és távoli kódfuttatásra lehetőséget adó sebezhetőségre is fény derült. Ezek együttesen lehetővé teszik, hogy egy harmadik fél hozzáférést szerezzen az összes Fibaro Home Center Lite vezérlőegységből felhőbe feltöltött biztonsági mentéshez. Sőt arra is mód nyílhat, hogy a támadó kompromittált mentéseket töltsön le a vezérlőre.
A kísérlet teljessé tételéhez a Kaspersky szakemberei teszttámadást hajtottak végre. Ehhez egy külön e célra fejlesztett, jelszóval védett biztonsági mentést készítettek. Ezután e-mailt és SMS-t küldtek a ház tulajdonosának, arra kérve őt, hogy frissítse a vezérlő firmware-jét. Az "áldozat" a kérésnek megfelelően letöltötte a fertőzött biztonsági mentést. Ennek köszönhetően a kutatók rendszergazdai hozzáférést szereztek az okosotthon vezérlőjéhez, és manipulálni tudták az összes ahhoz kapcsolódó eszköz működését. Hogy bizonyítsák a sikeres behatolásukat, a kutatók megváltoztatták az ébresztő által lejátszott dallamot: másnap a Kaspersky munkatársa hangos dobpergésre ébredt.
"Velünk ellentétben egy, az otthon vezérlőközpontjához hozzáféréssel rendelkező igazi támadó valószínűleg nem elégedne meg egy kis ébresztős tréfával. A kutatás rámutatott, hogy bár egyre tudatosabban kezeljük a dolgok internetének biztonságágát, még mindig maradtak megoldandó feladatok" - mondta Pável Cseremuskin, a Kaspersky ICS CERT biztonsági kutatója.
-
Nyolc sérülékenységet orvosoltak a FreeRDP fejlesztői.
-
Az Ubiquiti mielőbbi biztonsági frissítésre hívta fel a figyelmet.
-
Jelentős biztonsági frissítőcsomag érkezett a Fireware OS-hez.
-
Az AVideo kapcsán két veszélyes sebezhetőség látott napvilágot.
-
A FreeBSD jelentős biztonsági frissítést kapott.
-
Jelentős biztonsági frissítést kapott a wolfSSL.
-
Két sérülékenység található a WinRAR szoftverben.
-
Nyolc biztonsági hiba veszélyezteti a ClamAV-ot.
-
A Google Chrome legújabb verziója 382 különféle sebezhetőséget szüntet meg.
-
Soron kívüli biztonsági frissítés érkezett az Adobe ColdFusionhöz.
Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára az úgynevezett „shadow AI”, vagyis az alkalmazottak mesterséges intelligencia használata cégen belül.
Gyermeknap közeledtével érdemes arra is gondolni, milyen digitális környezetben nőnek fel ma a gyerekek és ebben milyen szerepet játszanak az egyre népszerűbb AI chatbotok.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat









