Год назад эксперт из GReAT Дэвид Якоби проверил, насколько легко взломать его собственное жилье, и обнаружил немало интересного.
Эксперимент Дэвида стал началом своеобразного флешмоба — вслед за ним подобные исследования провели и другие сотрудники компании.
Интернет вещей (англ. Internet of Things, IoT) — концепция вычислительной сети физических объектов («вещей»), оснащённых встроенными технологиями для взаимодействия друг с другом или с внешней средой. Для теста мы выбрали популярные устройства, такие как Google Chromecast (USB-адаптер для потоковой передачи видео), IP-камера и кофеварка, управляемые со смартфона, и домашняя система безопасности, которую также можно контролировать с помощью приложения.
Производитель и конкретная модель для всех типов устройств подбирались случайным образом. Как оказалось, их все можно так или иначе взломать или обмануть и использовать в своих целях. Мы сообщили производителям об обнаруженных уязвимостях. В результате одни дыры были исправлены, а другие остались «как есть».
Создатели Google Chromecast проморгали уязвимость, используя которую злоумышленник может вывести на экран телевизора собственную программу: много часов рекламы, сцены, содержащие насилие, или видео с крепкими матюками. Разобравшись с задачей, хулиган сможет делать это снова и снова, пока ему не надоест — или пока вы не поменяете адаптер на новый.
Если злоумышленник вооружится направленной антенной, то он получит возможность испортить вам просмотр футбольного матча даже на весьма приличном расстоянии, и найти его будет совсем не просто. Эта уязвимость известна довольно давно и до сих пор не исправлена. Попавшую к нам в руки IP-камеру производитель предлагал использовать в качестве «видеоняни», к которой можно получить доступ со смартфона. Напомним, что такие устройства взламывают уже давно — с 2013 года. Та модель камеры, с которой мы имели дело, была выпущена в 2015 году, но мы все равно нашли в ней пару «дыр».
Скачав приложение, созданное разработчиками этой камеры, хакеры после нескольких часов работы получили бы доступ к базе email-адресов всех клиентов компании. Так как большинство пользователей видеонянь — родители, такой список весьма пригодился бы злоумышленникам для проведения целевой фишинговой кампании.
Следующие два упущения позволяли злоумышленникам перехватывать полный контроль над камерой: смотреть и слушать, что происходит в комнате, воспроизводить с устройства любую аудиозапись по своему усмотрению, извлекать пароль суперпользователя, чтобы удалить или модифицировать ПО камеры. В общем, можно было стать единственным богом и повелителем этого маленького девайса. Мы сообщили производителю обо всех найденных уязвимостях и помогли залатать «дыры».
Примерно понятно, как с небольшой помощью злоумышленников видеоняни и адаптеры могут испортить нам жизнь. Но что не так с кофеваркой? Дело в том, что вольно или невольно навороченная кофемашина может оказаться «находкой для шпиона» и выдать злоумышленникам пароль от вашего домашнего Wi-Fi.
Пофиксить эту проблему оказалось довольно нелегко, и производитель до сих пор не залатал уязвимость. Впрочем, все не так печально, как кажется: временное окно для похищения пароля составляет всего лишь несколько минут. Из минусов — сколько ни меняй пароль от Wi-Fi, кофемашина будет готова сдать его снова и снова, при каждой новой настройке устройства.
Умная система безопасности для дома также проиграла битву, но на этот раз не с уловками хакеров, а с обычной физикой. Система использует специальные сенсоры, которые следят за магнитным полем, образующимся вокруг встроенного магнита. Открывая дверь или окно, вор нарушает магнитное поле, и датчик поднимает тревогу.
Но с помощью самого обычного магнита можно сохранить магнитное поле при открытой двери (или окне) и проникнуть в дом. Это очень распространенная проблема, так как датчики такого рода используются во многих популярных системах. Кроме того, пофиксить эту уязвимость с помощью программного апдейта не получится — тут нужно полностью менять сам подход. А вот с ПО по большому счету все было в порядке. Эта система вполне способна противостоять кибератакам, а также ворам, получавшим в школе двойки по физике.
Чтобы минимизировать риски и сделать дом более безопасным, мы рекомендуем следующее.
— Выбирая, какую часть вашей жизни вы хотите сделать более технологичной, подумайте о безопасности. Дом переполнен ценными вещами? Вдобавок к модной системе безопасности, управляемой со смартфона, стоит установить традиционную сигнализацию. Выбираете устройство, которое получит доступ к информации о личной жизни членов вашей семьи, вроде видеоняни? Пожалуй, тут можно подумать о простых моделях, передающих звук на радиочастотах, а не по сети.
— Если предыдущий совет вам не подходит, старайтесь выбирать тщательно. Перед покупкой умного устройства почитайте о нем в Интернете. Обращайте внимание на новости об обнаруженных багах и выпущенных патчах.
— Не стоит покупать самые-самые распоследние модели — в комплекте с гаджетом вам достанется набор типичных для необкатанного устройства багов и еще не обнаруженных специалистами уязвимостей. Лучше приобрести гаджет, уже проверенный временем.
