​Milliónyi kínai IoT eszköz veszélyben

Ha valami túl olcsó, hogy igaz legyen, akkor általában utólag derül ki, hogy mivel fizetjük meg a különbözetet. Milliónyi internetre csatlakoztatott kínai eszköz esetében a biztonság ez a valuta.

Milliónyi kínai IoT eszközbe beépített, peer-to-peer kommunikációs technológia biztonsági hibája miatt ezek az eszközök lehallgatóvá váltak, segítségükkel ellophatók a felhasználónevek, de távolról is be lehet jutni az eszközökbe – derült ki egy biztonsági szakértő tanulmányából. A kritikus biztonsági hibákat idén januárban fedezte fel Paul Marapese, de a gyártó eddig nem tett lépéseket a hiba elhárításáért.

A sérülékenységeket a iLnk P2P szoftverében fedezték fel, ezt a kínai Shenzhen Yunni Technology nevű cég fejlesztette. A szoftvert több millió IoT eszközbe építették be, közöttük biztonsági kamerákba, webkamerákba, bébi monitorokba, okos csengőkbe és digitális videórögzítőkbe.

Az iLnk P2P mögötti elképzelés egyébként nem rossz, a megoldást azért fejlesztették ki és építették be több mint 2 millió eszközbe, mert így gyors és könnyű távoli elérést lehet biztosítani hozzájuk, méghozzá anélkül, hogy a felhasználó a meglévő tűzfalán bármit is beállítana. A vásárlók – miután megvették az okoseszközt – egyszerűen beolvassák az alján lévő vonalkódot, majd beviszik az eszköz hatjegyű azonosítóját, innentől a P2P szoftver megoldja a többit.

A biztonsági szakértő elemzése szerint az iLnk P2P eszközök nem kínálnak hitelesítést vagy titkosítást, ezért egy támadónak relatíve egyszerű saját céljaira felhasználnia azokat. A kutató több mint kétmillió, az internetre csatlakoztatott sebezhető eszközt azonosított, ezek többsége (39 százalék) Kínában használatos, 19 százalékuk Európában, 7 százalékuk pedig az Amerikai Egyesült Államokban. Az érintett eszközöket többek között a VStarcam, Eye Sight és HiChip márkaneveken forgalmazták. Ha szeretnénk tudni, hogy az eszköze érintett-e a biztonsági hibában – melynek egyelőre nem tudni, mikor lesz frissítése, ha lesz egyáltalán – az eszköz alján található sorszám betűazonosítóit nézzük meg, az érintett azonosítók listája itt érhető el.

Sajnos, az IoT eszközök sérülékenységére korábban is találhattunk számos példát. Az Europol 2015-ben lőtt le egy botnetekből álló hálózatot, amely 3,2 millió számítógépet fertőzött meg. Egy évvel később felmerült, hogy az budapesti úszó VB kameráit kellene frissíteni, miután a Sony IP kameráiban fedeztek fel egy sérülékenységet. Az amerikai fogyasztóvédelmi hivatal meg pert is indított egy gyártó ellen, mert az nem tett meg mindent, hogy IoT eszközei biztonságban legyenek.