Αρκετές δημοφιλείς διασυνδεδεμένες συσκευές οικιακής ψυχαγωγίας μπορούν να αποτελέσουν μια πραγματική απειλή για την ψηφιακή ασφάλεια λόγω ευπαθειών στο λογισμικό τους, καθώς και λόγω έλλειψης στοιχειωδών μέτρων ασφάλειας, όπως οι ισχυροί, προεπιλεγμένοι κωδικοί πρόσβασης για τους διαχειριστές και η κρυπτογράφηση της σύνδεσης στο Διαδίκτυο.
Αναλυτές της Kaspersky εξέτασαν δύο μοντέλα συνδεδεμένων σε δίκτυο συσκευών αποθήκευσης από διαφορετικούς κατασκευαστές, μια Smart TV, ένας δορυφορικός δέκτης κι ένας διασυνδεδεμένος εκτυπωτής.
Οι πιο σοβαρές ευπάθειες εντοπίστηκαν στις συνδεδεμένες σε δίκτυο συσκευές αποθήκευσης. Αρκετές από αυτές θα επέτρεπαν σε έναν εισβολέα να εκτελέσει απομακρυσμένα εντολές, έχοντας μάλιστα τα υψηλότερα δυνατά προνόμια διαχείρισης ενός συστήματος. Επίσης, οι προεπιλεγμένοι κωδικοί πρόσβασης γι’ αυτές τις συσκευές ήταν «αδύναμοι», πολλά από τα αρχεία ρυθμίσεων είχαν λάθη στις εξουσιοδοτήσεις, ενώ περιείχαν τους κωδικούς πρόσβασης σε μορφή απλού κειμένου. Ειδικότερα, ο προεπιλεγμένος κωδικός πρόσβασης διαχειριστή για μία από τις συσκευές περιείχε μόνο ένα ψηφίο. Μια άλλη συσκευή μοιραζόταν ακόμη και ολόκληρο το αρχείο ρυθμίσεων με κρυπτογραφημένους κωδικούς πρόσβασης με όλους τους χρήστες του δικτύου.
Εξετάζοντας το επίπεδο ασφάλειας στη Smart TV, οι ερευνητές της Kaspersky Lab ανακάλυψαν ότι δεν χρησιμοποιείται κρυπτογράφηση στην επικοινωνία μεταξύ της τηλεόρασης και των servers του κατασκευαστή. Αυτό πιθανώς να ανοίγει το δρόμο για επιθέσεις “Man-in-the-Middle”, οι οποίες θα μπορούσαν να έχουν ως αποτέλεσμα ο χρήστης να μεταφέρει χρήματα σε απατεώνες, όταν προσπαθεί να αγοράσει περιεχόμενο μέσω Smart TV.
Τέλος, το DSL που παρείχε ασύρματη σύνδεση στο Διαδίκτυο σε όλες τις υπόλοιπες οικιακές συσκευές, περιλάμβανε διάφορα επικίνδυνα χαρακτηριστικά που ήταν κρυφά από τον ιδιοκτήτη του. Σύμφωνα με τους ερευνητές, μερικές από αυτές τις κρυφές λειτουργίες θα μπορούσαν να προσφέρουν στον Πάροχο Διαδικτυακών Υπηρεσιών (ISP) απομακρυσμένη πρόσβαση σε κάθε συσκευή που βρίσκεται εντός ενός ιδιωτικού δικτύου. Πιο σημαντικό από αυτό, όμως, είναι το γεγονός ότι ο ιδιοκτήτης της συσκευής δεν μπορεί να δει ή να προσαρμόσει μέρη του web interface του router με τις ονομασίες “Web Cameras”, “Telephony Expert Configure”, “Access Control”, “WAN-Sensing” και “Update”, όπως έδειξε η έρευνα. Η πρόσβαση σε αυτά τα μέρη έγινε δυνατή μόνο μέσα από την εκμετάλλευσης μιας ευπάθειας, η οποία επέτρεψε την περιήγηση σε διάφορα μέρη του interface).
Αρχικά, αυτές οι λειτουργίες υλοποιήθηκαν για να προσφέρουν μεγαλύτερη ευκολία στον κάτοχο της συσκευής: η λειτουργία της απομακρυσμένης πρόσβασης επιτρέπει στον ISP να επιλύσει εύκολα και γρήγορα πιθανά τεχνικά προβλήματα της συσκευής. Ωστόσο, αυτή η ευκολία μπορεί να μετατραπεί σε κίνδυνο αν ο έλεγχος πέσει σε λάθος χέρια.
Η πλήρης έκθεση για την έρευνα, με τίτλο “Internet of Things: How I Hacked My Home», είναι διαθέσιμη εδώ.
Το BizTech.gr χρησιμοποιεί συνδέσεις Vodafone Internet 4Sharing για να σας φέρνει πάντα πρώτο κάθε εξέλιξη.