Ευπάθειες σε συσκευές οικιακής ψυχαγωγίας

by George Polyzos • On 08-09-2014 • AT 8:52 am • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Home Electronics

Αρκετές διασυνδεδεμένες συσκευές οικιακής ψυχαγωγίας μπορούν να αποτελέσουν μια πραγματική απειλή για την ψηφιακή ασφάλεια λόγω ευπαθειών στο λογισμικό τους, καθώς και λόγω έλλειψης στοιχειωδών μέτρων ασφάλειας.

Ο David Jacoby, αναλυτής ασφάλειας της Kaspersky Lab, διεξήγαγε ένα ερευνητικό πείραμα στο σαλόνι του για να διαπιστώσει πόσο ψηφιακά ασφαλές είναι το σπίτι του. Για το σκοπό αυτό εξέτασε διάφορες συσκευές οικιακής ψυχαγωγίας (π.χ. συνδεδεμένες σε δίκτυο συσκευές αποθήκευσης, Smart TV, router, blu-ray player κ.α.), οι οποίες αποδείχθηκε ότι είναι ευάλωτες σε ψηφιακές επιθέσεις.

Για το πείραμα, εξετάστηκαν δύο μοντέλα συνδεδεμένων σε δίκτυο συσκευών αποθήκευσης από διαφορετικούς κατασκευαστές, μια Smart TV, ένας δορυφορικός δέκτης κι ένας διασυνδεδεμένος εκτυπωτής. Κατά την έρευνα, ο David Jacoby κατάφερε να βρει 14 ευπάθειες στις συσκευές αποθήκευσης, μια ευπάθεια στη Smart TV και διάφορες πιθανώς κρυφές λειτουργίες απομακρυσμένου ελέγχου στο router.

Σύμφωνα με την πολιτική υπεύθυνης δημοσιοποίησης στοιχείων της Kaspersky Lab, η εταιρεία δεν αποκαλύπτει τις επωνυμίες των κατασκευαστών των οποίων τα προϊόντα αποτέλεσαν μέρος της έρευνας, μέχρι να κυκλοφορήσει το patch που θα καλύπτει τις ευπάθειες. Σημειώνεται ότι όλες οι εταιρείες ενημερώθηκαν για την ύπαρξη των ευπαθειών. Επίσης, οι ειδικοί της Kaspersky Lab συνεργάζονται με τους παρόχους των προϊόντων, με στόχο την εξάλειψη των ευπαθειών που ανακαλύπτουν.

Απομακρυσμένη εκτέλεση κώδικα και «αδύναμοι» κωδικοί πρόσβασης: Οι πιο σοβαρές ευπάθειες εντοπίστηκαν στις συνδεδεμένες σε δίκτυο συσκευές αποθήκευσης. Αρκετές από αυτές θα επέτρεπαν σε έναν εισβολέα να εκτελέσει απομακρυσμένα εντολές, έχοντας μάλιστα τα υψηλότερα δυνατά προνόμια διαχείρισης ενός συστήματος. Επίσης, οι προεπιλεγμένοι κωδικοί πρόσβασης γι’ αυτές τις συσκευές ήταν «αδύναμοι», πολλά από τα αρχεία ρυθμίσεων είχαν λάθη στις εξουσιοδοτήσεις, ενώ περιείχαν τους κωδικούς πρόσβασης σε μορφή απλού κειμένου. Ειδικότερα, ο προεπιλεγμένος κωδικός πρόσβασης διαχειριστή για μία από τις συσκευές περιείχε μόνο ένα ψηφίο. Μια άλλη συσκευή μοιραζόταν ακόμη και ολόκληρο το αρχείο ρυθμίσεων με κρυπτογραφημένους κωδικούς πρόσβασης με όλους τους χρήστες του δικτύου.

Επιθέσεις “Man-in-the-Middle” μέσω Smart TV: Εξετάζοντας το επίπεδο ασφάλειας της δικής του Smart TV, ο ερευνητής της Kaspersky Lab ανακάλυψε ότι δεν χρησιμοποιείται κρυπτογράφηση στην επικοινωνία μεταξύ της τηλεόρασης και των servers του κατασκευαστή. Αυτό πιθανώς να ανοίγει το δρόμο για επιθέσεις “Man-in-the-Middle”, οι οποίες θα μπορούσαν να έχουν ως αποτέλεσμα ο χρήστης να μεταφέρει χρήματα σε απατεώνες, όταν προσπαθεί να αγοράσει περιεχόμενο μέσω Smart TV. Για του λόγου το αληθές, ο ερευνητής ήταν σε θέση να αντικαταστήσει ένα εικονίδιο του interface της Smart TV με μια άλλη εικόνα.

Κρυφές κατασκοπευτικές λειτουργίες σε router: Το DSL που παρείχε ασύρματη σύνδεση στο Διαδίκτυο σε όλες τις υπόλοιπες οικιακές συσκευές, περιλάμβανε διάφορα επικίνδυνα χαρακτηριστικά που ήταν κρυφά από τον ιδιοκτήτη του. Σύμφωνα με τον ερευνητή, μερικές από αυτές τις κρυφές λειτουργίες θα μπορούσαν να προσφέρουν στον Πάροχο Διαδικτυακών Υπηρεσιών (ISP) απομακρυσμένη πρόσβαση σε κάθε συσκευή που βρίσκεται εντός ενός ιδιωτικού δικτύου. Πιο σημαντικό από αυτό, όμως, είναι το γεγονός ότι ο ιδιοκτήτης της συσκευής δεν μπορεί να δει ή να προσαρμόσει μέρη του web interface του router με τις ονομασίες “Web Cameras”, “Telephony Expert Configure”, “Access Control”, “WAN-Sensing” και “Update”, όπως έδειξε η έρευνα. Η πρόσβαση σε αυτά τα μέρη έγινε δυνατή μόνο μέσα από την εκμετάλλευση μιας ευπάθειας, η οποία επέτρεψε την περιήγηση σε διάφορα μέρη του interface.

Η πλήρης έκθεση για την έρευνα, με τίτλο “Internet of Things: How I Hacked My Home», είναι διαθέσιμη στο Securelist.com.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

Comments are closed.

Top

Show Buttons
Hide Buttons