Уразливості в системах “розумного дому” дозвляють хакерам Вас підслуховувати

Серйозні уразливості виявили фахівці компанії ESET у безпеці трьох різних домашніх центрів для управління системою розумного дому Fibaro Home Center Lite, Home Matic Central Control Unit (CCU2) та eLAN-RF-003.

Ці пристрої використовуються для моніторингу та контролю системи “розумного дому” та інших середовищ у тисячах будинках та в невеликих офісах у всьому світі. Однак через роботу більшості співробітників вдома уразливості в таких системах можуть стати потенційним вектором атак на підприємства.

Фахівці виявили ряд уразливостей, які можуть бути використані зловмисниками для здійснення атак методом Man-in-the-Middle (MitM), підслуховування жертв, створення бекдорів або отримання доступу до деяких пристроїв та їх вмісту. У гіршому випадку, ці проблеми можуть навіть дозволити зловмисникам взяти під контроль центральний блок та всі підключені до нього девайси.

“Ми виявили, що наявність уразливостей в пристроях IoT є поширеною проблемою. Наше дослідження також доводить, що недоліки в налаштуваннях, відсутність шифрування чи аутентифікації наявні не тільки в дешевих девайсах, але й також присутні в апаратному забезпеченні високого класу”,— коментує Ондрей Кубович, спеціаліст з кібербезпеки компанії ESET.

Які пристрої уразливі?

Одним з уразливих пристроїв став Fibaro Home Center Lite — контролер домашньої автоматизації, призначений для управління різними пристроями IoT. Спеціалісти ESET знайшли ряд серйозних недоліків, які можуть відкрити доступ для сторонніх користувачів та зловмисників. Зокрема одна з уразливостей розумного дому дозволяє кіберзлочинцям створити бекдор SSH та отримати повний контроль над цільовим пристроєм. Після отримання повідомлення про виявлену уразливість розумного дому виробник швидко виправив недолік.

В центральному пристрої системи розумного дому Homematic CCU2 також було виявлено недолік безпеки під час тестування ESET, а саме здатність зловмисника здійснювати несанкціоноване виконання віддаленого коду (RCE) від імені користувача root. Ця уразливість розумного дому могла дозволити зловмисникам отримати повний доступ до системи Homematic CCU2 та до підключених девайсів. Варто зазначити, що уразливість розумного дому була негайно виправлена виробником.

Третім прикладом є розумний комунікатор eLAN-RF-003, який дозволяє користувачу керувати різноманітними домашніми системами через додаток на смартфоні, смарт-годиннику, планшеті або смарт-телевізорі.

Результати тестування ESET показали, що підключення системи до Інтернету або навіть керування ним у своїй локальній мережі може бути потенційно небезпечним для користувача через низку критичних недоліків. Зокрема до них відноситься некоректна перевірка аутентифікації команд, яка дозволяла виконувати всі дії без входу в систему, або радіозв’язок з девайсами, які уразливі доатак типу повторного відтворення. Виробник виправив деякі уразливості розумного дому та зосередився на розробці нового покоління пристроїв.

Тому всім власникам систем розумного будинку рекомендується оновити всі IoT-пристрої для зменшення ризиків інфікування шкідливим ПЗ, а також для уникнення атак кіберзлочинців.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

На час карантину під час Вашої роботи вдома існує більша загроза бути підданим кіберзламу, ніж би Ви виконували завдання в офісі. Щоб зменшити ризики інфікування шкідливими програмами та підвищити безпеку віддаленого доступу,  дотримуйтесь наступних правил.

Нагадаємо, компанії Apple і Google об’єдналися, щоб створити систему відстеження контактів з хворими коронавірусом на iOS і Android.

Також понад 300 облікових записів Zoom виявили на одному з форумів у Даркнеті, де викладаються та продаються різні особисті дані.

Якщо Ваш смартфон потрапить до чужих рук, уся Ваша конфіденційна інформація може бути використана у зловмисних цілях. Саме тому важливо потурбуватися про безпеку своїх даних задовго до втрати чи викрадення телефону