Η Kaspersky αποκαλύπτει τις ευπάθειες ενός «έξυπνου» οικιακού hub

by George Polyzos • On 03-03-2018 • AT 2:00 pm • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Internet

Οι ερευνητές της Kaspersky Lab ανακάλυψαν ευπάθειες σε ένα «έξυπνο» οικιακό hub που χρησιμοποιείται για τη διαχείριση όλων των συνδεδεμένων μονάδων και αισθητήρων που βρίσκονται εγκατεστημένα σε ένα σπίτι.

Η ανάλυση αποκαλύπτει ότι είναι δυνατό για έναν απομακρυσμένο εισβολέα να έχει πρόσβαση στον server του προϊόντος και να κάνει λήψη ενός αρχείου που περιέχει τα προσωπικά δεδομένα διαφόρων χρηστών, τα οποία είναι απαραίτητα για να αποκτήσουν πρόσβαση στον λογαριασμό τους και ως αποτέλεσμα να αποκτήσουν τον έλεγχο των οικιακών τους συστημάτων.

Ενώ η δημοτικότητα των συνδεδεμένων συσκευών συνεχίζει να αυξάνεται, οι «έξυπνοι» οικιακοί κόμβοι (hub) έχουν ιδιαίτερα μεγάλη ζήτηση. Κάνουν τη διαχείριση των σπιτιών πολύ ευκολότερη, συνδυάζοντας όλες τις ρυθμίσεις της συσκευής σε ένα μέρος και επιτρέποντας στους χρήστες να τις ρυθμίζουν και να τις ελέγχουν μέσω web-interfaces ή mobile εφαρμογών. Ορισμένα από αυτά χρησιμεύουν ακόμη και ως συστήματα ασφάλειας. Την ίδια στιγμή, η ύπαρξη ενός “ενοποιητή” καθιστά τη συσκευή αυτή έναν ελκυστικό στόχο για ψηφιακούς εγκληματίες, καθώς θα μπορούσε να τους χρησιμεύσει ως σημείο εισόδου για απομακρυσμένες επιθέσεις.

Νωρίτερα το περασμένο έτος, η Kaspersky Lab εξέτασε μια «έξυπνη» οικιακή συσκευή που αποδείχθηκε ότι παρέχει μια τεράστια επιφάνεια επιθέσεων για εισβολείς, βασισμένη σε αδύναμους αλγόριθμους δημιουργίας κωδικών πρόσβασης και σε ανοιχτές θύρες. Κατά τη διάρκεια της νέας έρευνας, οι ερευνητές ανακάλυψαν ότι ένας επισφαλής σχεδιασμός και πολλά τρωτά σημεία στην αρχιτεκτονική της «έξυπνης» συσκευής θα μπορούσαν να προσφέρουν στους εγκληματίες πρόσβαση στο σπίτι κάποιου.

Αρχικά, οι ερευνητές ανακάλυψαν ότι το hub στέλνει τα δεδομένα του χρήστη όταν επικοινωνεί με έναν server, συμπεριλαμβανομένων των στοιχείων σύνδεσης που απαιτούνται για την είσοδο στο web interface του «έξυπνου» hub – το user ID και τον κωδικό πρόσβασης. Επιπλέον, μπορούν να αναγράφονται και άλλες προσωπικές πληροφορίες όπως ο αριθμός τηλεφώνου του χρήστη που χρησιμοποιείται για ειδοποιήσεις. Οι απομακρυσμένοι εισβολείς μπορούν να κατεβάσουν το αρχείο με αυτές τις πληροφορίες στέλνοντας ένα νόμιμο αίτημα στον server που περιλαμβάνει τον σειριακό αριθμό της συσκευής. Και η ανάλυση δείχνει ότι ο σειριακός αριθμός μπορεί επίσης να ανακαλυφθεί από τους εισβολείς ως αποτέλεσμα των απλοϊκών μεθόδων δημιουργίας του.

Σύμφωνα με τους ειδικούς, οι σειριακοί αριθμοί μπορούν πέσουν θύματα brute-forcing με τη χρήση λογικής ανάλυσης και στη συνέχεια να επιβεβαιωθούν μέσω αιτήματος προς τον server. Αν μια συσκευή με τον εν λόγω σειριακό αριθμό καταχωρηθεί σε ένα σύστημα στο cloud, οι εγκληματίες θα λάβουν επιβεβαιωτικές πληροφορίες. Ως αποτέλεσμα, μπορούν να συνδεθούν στον διαδικτυακό λογαριασμό του χρήστη και να διαχειριστούν τις ρυθμίσεις των αισθητήρων και των ελεγκτών που είναι συνδεδεμένοι στο hub.

Όλες οι πληροφορίες σχετικά με τα ευρήματα που εντοπίστηκαν έχουν αναφερθεί στον πωλητή και έχουν επιλυθεί.

Προκειμένου να παραμείνουν προστατευμένοι, η Kaspersky Lab συμβουλεύει τους χρήστες:
Χρησιμοποιείτε πάντα έναν σύνθετο κωδικό πρόσβασης και μην ξεχνάτε να τον αλλάζετε τακτικά.
Αυξήστε την ευαισθητοποίησή σας στον τομέα της ασφάλειας, ελέγχοντας τις πιο πρόσφατες πληροφορίες σχετικά με τις ευπάθειες που εντοπίστηκαν και επιδιορθώθηκαν στις «έξυπνες» συσκευές, οι οποίες είναι συνήθως διαθέσιμες στο διαδίκτυο.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

ΠΕΣ ΤΗΝ ΓΝΩΜΗ ΣΟΥ

Your email address will not be published. Required fields are marked *

ΑΠΟΣΤΟΛΗ

Top

Show Buttons
Hide Buttons