Nesandarus dubuo arba išmaniųjų tiektuvų pavojai
| | |

Nesandarus dubuo arba išmaniųjų tiektuvų pavojai

PaskelbėPuiki.lt 🕑  Skaitymo laikas:  5  minutės

Išmaniosios lesyklėlės buvo išrastos siekiant palengvinti gyvūnų savininkų gyvenimą. Tačiau jų pažeidžiamumas kelia pavojų ne tik jų šeimininkų privatumui, bet ir gyvūnų sveikatai..

Visi naminių gyvūnėlių savininkai myli savo augintinius. Ką augintiniai mėgsta labiausiai? Kalbėkitės su savininkais ir valgykite. Na, arba atvirkščiai: pirma pavalgyk, o po to bendrauji su šeimininkais.

Šiuolaikinės išmaniosios lesyklėlės sukurtos būtent tam, kad jūsų augintinis neliktų alkanas ir nenuobodžiautų, kol jūsų nėra namuose. Bet kaip jiems sekasi su kibernetiniu saugumu? Pasirodo, visai neblogai.

Išmani lesyklėlė Jūsų mylimam augintiniui

Išmaniosios gyvūnų šėryklos yra populiari išmaniųjų buitinių prietaisų kategorija, skirta visiems, kuriems dažnai tenka palikti savo augintinį vieną namuose, pavyzdžiui, einant į darbą visą dieną. Sunku paaiškinti katei ar šuniui, kodėl šeimininkas išeina pro duris ir – gyvūno požiūriu – visą dieną stovi kaip kvailys, užuot maitinęs savo augintinį ir su juo žaidžiantis..

Patys pirmieji išmaniųjų tiektuvų modeliai buvo įrenginiai, galintys išmatuotą maisto porciją išpilstyti laikmačiu ir neprisijungti prie interneto. Tačiau augant išmaniųjų namų sistemų populiarumui, tiektuvai tapo sudėtingesni ir įgijo papildomų funkcijų. Dabar jie leidžia ne tik maitinti savo augintinį pagal iš anksto nustatytą grafiką, bet ir stebėti jį ir net bendrauti nuotoliniu būdu naudojant įmontuotą mikrofoną, garsiakalbį ir kamerą, o daugelis jų taip pat palaiko valdymą balsu naudojant išorinius įrenginius – pvz. , Amazon Alexa. Norėdami tai padaryti, jie per namų Wi-Fi prijungiami prie interneto ir valdomi naudojant programą išmaniajame telefone.

Ir kaip suprantate, jei koks nors namų išmanusis įrenginys turi vaizdo kamerą, mikrofoną ir prieigą prie interneto, tai įsilaužėliams tai potencialiai labai įdomu. Jau aptarėme tinklo vaizdo kamerų saugumą – tiksliau, praktinį jo nebuvimą. smulkiai papasakojo, naudojant internetinius vaizdo kūdikių monitorius įsilaužėliai persekiojo auklę ir gąsdino vaikus, robotai dulkių siurbliai Pikantiškos savininkų nuotraukos buvo nutekintos internete ir butų išplanavimus, ir net išmaniąsias lemputes – lemputes! – naudotas atakoms prieš namų tinklus.

Dabar atėjo laikas lesyklėlėms.

Nesandarus dubuo

Mūsų ekspertai ištyrė vieną iš populiarūs modeliai Dogness išmaniosios naminių gyvūnėlių lesyklėlės ir joje atrado daug pažeidžiamumų, leidžiančių užpuolikui keisti šėrimo grafiką, keldamas pavojų jūsų augintinio sveikatai, o taip pat galimai lesyklą paversti šnipinėjimo įrenginiu. Kai kurios sudėtingesnės saugos problemos yra užkoduotų kredencialų naudojimas, nešifruotas ryšys su debesies serveriu ir nesaugus programinės įrangos atnaujinimo procesas. Šie pažeidžiamumai gali suteikti užpuolikui neteisėtą prieigą prie įrenginio ir sudaryti galimybę naudoti pažeistą tiektuvą kaip atakų prieš kitus namų tinklo įrenginius pradžios tašką. Tyrimo metodiką ir detales galite perskaityti mūsų išsami ataskaita Securelist, čia kalbėsime apie aptiktas skyles ir jų keliamą riziką.

Problemų šaknis

Pagrindinis šio išmaniojo tiektuvo pažeidžiamumas yra Telnet serverio su nuotolinės šakninės prieigos galimybe per numatytąjį prievadą. Tuo pačiu metu supervartotojo slaptažodis yra nurodytas programinėje įrangoje ir jo pakeisti negalima, o jei užpuolikas ištrauks programinę-aparatinę įrangą, jam nebus problemų atkurti slaptažodį ir gauti visišką prieigą prie įrenginio – ir bet kas to paties modelio įrenginiai, nes jie turi tuos pačius root slaptažodžius! O kad tai padarytumėte, tereikia nusipirkti panašią šėryklą ir šiek tiek joje raustis.

Prisijungęs nuotoliniu būdu per Telnet su root prieiga (norėdamas tai padaryti, įsilaužėlis turi gauti nuotolinę prieigą prie jūsų namų tinklo), užpuolikas gali vykdyti bet kokį kodą įrenginyje, keisti nustatymus ir pavogti neskelbtinus duomenis, įskaitant vaizdo įrašus, kurie siunčiami iš tiekimo kamera į debesį. Taigi tiektuvą galima nesunkiai paversti šnipinėjimo įrenginiu su plačiakampe kamera ir geru mikrofonu.

Šifravimas? Ne, negirdėjome…

Be pagrindinio slaptažodžio, užkoduoto programinėje aparatinėje programoje ir vienodo visiems įrenginiams, aptikome vienodai rimtą pažeidžiamumą – tiektuvas „bendrauja“ su debesies paslauga, kuri ją nuotoliniu būdu valdo, be jokio šifravimo. Autentifikavimo duomenys taip pat perduodami nešifruoti, o tai leidžia užpuolikui net nesivarginti išgauti pagrindinio slaptažodžio iš programinės aparatinės įrangos: pakanka perimti srautą tarp tiektuvo ir debesies ir gauti prieigą prie įrenginio, o tada per jį galite užpulti kitus įrenginiai tame pačiame tinkle, kuris gali kelti pavojų visai namų infrastruktūrai.

Alexa, balsas! Koks vau»?

Tačiau net ir šis staigmenų pilnas dubuo dar nėra tuščias. „Dogness Feeder“ gali prisijungti prie „Amazon Alexa“, kad būtų galima valdyti įrenginį balsu. Patogu, tiesa? Pasakiau Alexa „maitinti“, ir nereikia ieškoti išmaniojo telefono..

Tačiau čia, kaip jau galima spėti, atsispindi bendras kūrėjų nerūpestingumas saugumo atžvilgiu. Įrenginys gauna komandas iš Alexa per MQTT (Message Queuing Telemetry Transport), o prisijungimo vardas ir slaptažodis vėl įrašomi aiškiu tekstu tiesiai vykdomajame faile. Tai reiškia, kad jie yra vienodi visiems rinkoje esantiems įrenginiams – tai yra, kai tik prijungsite tiektuvą prie Alexa, kad galėtumėte valdyti balsu, jis nebebus tiksliai jūsų tiektuvas..

Prisijungęs prie MQTT serverio, įsilaužėlis gali labai greitai surinkti visų prie jo prijungtų panašių įrenginių identifikatorius – tai yra tų feederių, kurių savininkai nusprendė pasinaudoti balso valdymo funkcija. Po to jis gali siųsti iš MQTT serverio bet kurią iš komandų, kurias galima valdyti balsu, į bet kurį tiektuvą, prijungtą prie Alexa, kurio identifikatorius jam žinomas..

Užpuolikas galės siųsti jai komandas, kurios nustato šėrimo grafiką ir kontroliuoja maisto paskirstymą, suteikdamas jūsų augintiniui neplanuotą pilvo šventę arba stiprų bado streiką. Kitas šalutinis poveikis yra tas, kad nuolat siųsdamas specialiai sukurtas komandas į tiektuvą, įsilaužėlis gali sutrikdyti jo valdymą balsu..

Srautas nevalingai

Toliau tiriant tiektuvo veikimo ypatybes, mūsų laukė nauji netikėtumai, susiję su vaizdo srauto perkėlimu į debesies serverį, iš kurio savininkas vaizdo įrašą gali peržiūrėti savo išmaniajame telefone. Paaiškėjo, kad nors mobilioji aplikacija prie serverio jungiasi naudodama saugų HTTPS protokolą, pati feeder perduoda duomenis į debesį be jokio šifravimo, naudodama seną gerą HTTP. Be to, atsisiuntimo raktas taip pat yra užkoduotas programinėje įrangoje ir neapsaugota forma perduodamas į serverį.

Atsižvelgiant į tai, kad tiekimo kamera skirta nuolat jį įrašyti ir transliuoti į serverį, šis pažeidžiamumas leidžia užpuolikams matyti ir girdėti viską, kas vyksta kameros matymo lauke..

Pasiūta baltais siūlais

Galiausiai, su cukraus kauliu desertui, paaiškėjo, kad programinės aparatinės įrangos atnaujinimo procesas, kurio pagalba galima išspręsti nustatytas problemas, taip pat yra nesaugus! Norėdami atnaujinti, tiektuvas iš naujinimo serverio per nesaugų HTTP protokolą atsisiunčia archyvo failą su nauja programine įranga. Taip, archyvas yra apsaugotas slaptažodžiu, bet, kaip tikriausiai jau atspėjote, šio archyvo slaptažodis yra parašytas aiškiu tekstu viename iš atnaujinimo scenarijų. Ir URL, iš kurio atsisiunčiama naujausia programinės aparatinės įrangos versija, sugeneruojamas pagal atsakymą, gautą iš naujinimo serverio, kurio adresas yra teisingai prijungtas prie esamos programinės įrangos..

Įrenginys nepateikia jokių skaitmeninių parašų ar jokių kitų programinės aparatinės įrangos galiojimo tikrinimo metodų – jis atsisiunčia archyvą nešifruotu kanalu, išpakuoja jį naudodamas integruotą (ir visiems įrenginiams įprastą) slaptažodį ir nedelsdamas įdiegia programinę-aparatinę įrangą. . Tai reiškia, kad užpuolikas gali modifikuoti programinę-aparatinę įrangą ir įkelti bet ką į įrenginį, pridėdamas visiškai netikėtų funkcijų..

Kaip apsisaugoti?

Žinoma, draugiškai visas šias įrenginio saugumo skyles turėjo užtaisyti pats tiektuvo gamintojas, išleisdamas programinės įrangos atnaujinimą ir nelaukdamas, kol įsilaužėliai pasinaudos šiomis spragomis. Apie rastas problemas ne kartą pranešėme gamintojui, tačiau, deja, nuo 2022 metų spalio negavome iš jų atsakymo, o visos mūsų rastos spragos ir toliau yra parduodamose Dogness išmaniosiose lesyklėlėse. Tai kelia pavojų tiek augintinių sveikatai, tiek jų šeimininkų privatumui..

Rekomenduojame perskaityti mūsų išsamus išmaniųjų namų apsaugos nustatymo vadovas — Dauguma iš ten pateiktų rekomendacijų taip pat gali būti taikomos aukščiau aprašytoms problemoms, susijusioms su išmaniuoju šėrykliu, Dogness lesyklėlių savininkams pateiksime keletą paprastų patarimų:

  • Reguliariai tikrinkite, ar nėra programinės įrangos naujinių.
  • Nenaudokite „Amazon Alexa“ balso sąsajos „Dogness Feeder“ valdymui.
  • Išjunkite vaizdo transliaciją arba įrenkite tiektuvą tokioje vietoje, kad vaizdo kamera nematytų jūsų asmeninio gyvenimo detalių..
  • Maršrutizatoriuje sukurkite svečio Wi-Fi tinklą ir prie jo prijunkite tiektuvą (ir kitus nesaugius išmaniųjų namų įrenginius) – taip išvengsite atakų prieš kitus jūsų namų tinklo įrenginius, jei bus įsilaužta į nesaugų išmanųjį įrenginį..
  • Naudokite patikimą saugos sprendimą visiems savo namų įrenginiams. Rekomenduojame prenumeruoti Kaspersky Premium, kuri leidžia apsaugoti visus jūsų namuose esančius įrenginius ir gali stebėti pokyčius namų tinkle, kad būtų galima laiku pamatyti ir pašalinti iš tinklo pašalinius prijungtus įrenginius.

Įvertinkite straipsnį
0 / 12

Your page rank:

Post Views: 64
LinkedInMessengerPinterestPrintRedditTelegramTumblrWhatsApp
Avatar photo

Straipsnis parengtas publikavimui Puiki.lt rdakcijos. Straipsniuose gali būti panaudota indormacija iš vieno ar kelių informacinių šaltinių, ar straipsnis parengtas naudojantis šaltinio medžiaga. Tai gali būti staipsnis, kuris yra išverstas iš užsienio kalbos. Straipsnio vertimo iš užsienio kalbos / kalbų teisės priklauso: © 2000 - 2024 Puiki.lt - Visos teisės saugomos. All rights reserved. Straipsniuose naudojamos nuotraukos iš įvairių komercinių ir nekomercinių šaltinių: Getty Images, Freepik, iStock, Pexels, Shutterstock, Unsplash. Straipsniuose gali būti naudojamos asmeninės straipsnio autoriaus nuotraukos ir iliustracijos. Prie mokslinių ar akademinių straipsnių, pateikiame visą sąrašą nuorodų į šaltinius ir kitą bibliografinę informaciją. Citatų autoriai nurodomi, po citatomis. Straipsniuose gali būti vertimo klaidų ar netikslumų.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *