Интернет на нештата може да биде следната „голема“ технологија, но за ова компаниите мора да поработат на поголема безбедност на уредите. Безбедносните проблеми на паметните уреди не се новост. Токму тие беа и главна причина за некои од најголемите DDoS напади со бот мрежи.
Огромни мрежи на IoT-уреди дискутабилно се најголем проблеми со паметните уреди, но не и единствениот. Неодамна група истражувачи тестираше неколку различни апарати за домаќинство од компанијата Smarter. Без разлика која верзија на уредот ја тестирале успеале да пронајдат безбедносен пропуст, пишува Ars Technica.
Безбедносните експерти од компанијата Pen Test успеаја да го „извлечат“ клучот за Wi-Fi криптирање на првата верзија на паметниот чајник Smarter iKettle. Втората верзија на чајникот има и поголеми проблеми, па експертите сметаат дека напаѓачот би можел да го замени фирмверот на уредот со малициозен.
Оттогаш Smarter издаде и трета верзија на паметниот чајник и во неа се надминати безбедносните проблеми на претходните. Сепак уредите од претходните серии и натаму работат, а Smarter не ги извести своите корисници за пропустите. Токму ова е причината зошто безбедноста или недостатокот на безбедност се клучни за иднината на интернет на нештата.
Мартин Хрон од Avast ги тестираше постарите модели да провери што може да направи со нив. Тој успеа во целост да ја преземе работата на овие кафемати; успеа да пушти вода; да ја вклучи мелницата и греачот; па дури и да испише порака за откуп на екранот.
Расклопување на iKettle
Уредот веднаш по вклучувањето во струја автоматски се поврзува на интернет и ја бара апликацијата на телефонот со која се управува уредот. За жал ова поврзување е по некриптирана врска и може да се искористи и малициозна апликација.
Истата апликацијата се користи и за надградба на софтверот на уредот. Софтверот за надградба се презема од телефонот, а не директно од интернет.
„Фирмверот е дел од Android апликацијата, ова значи дека нови верзии на фирмверот доаѓаат со нова верзија на апликацијата. Ако малку подразмислите ова всушност има смисла. Новиот фирмвер вообичаено додава некаква функционалност. Ова мора некако да биде прикажано на интерфејсот на апликацијата. Ова ни овозможи да го пронајдеме фирмверот без да го допреме уредот“, вели г. Хрон на својот блог.
За целосно да го „разглоби“ фирмверот потребно беше да ѕирне и во уредот. Ова и го направи и дозна дека процесорот е ARM Cortex M0 со кој се контролира секој дел на кафематот. По ова со Python скрипта имитираше процес за надградба и го инсталираше новиот фирмвер.
Нападот е ограничен, ама…
Првата идеја при ова хакирање беше да се искористат овие уреди за копање на крипто-валути. Истражувачот, иако успеа во оваа намера, сепак со процесор од 8MHz смета дека оваа примена нема иднина. Поради куп ограничување тешко е да се поверува дека нападот би можел да се искористи масовно, па самиот хак би имал прилично тесна употреба во реалноста. Сепак ова не беше главна причина поради која г. Хрон воопшто и го направи ова. Причината за овој експеримент е едноставно да се покаже кој е најголемиот проблем на овие уреди.
Животниот век на еден фрижидер во просек е 17 години. Колку мислите дека продавачите ќе го поддржуваат софтверот за неговата паметна функционалност? Секако, сè уште ќе може да го користите дури и ако нема надградба, но со темпото на развој на IoT и лошиот став за поддршка, создаваме армија на напуштени ранливи уреди кои можат да бидат злоупотребени за нечесни цели, како што се пробивање на мрежата, кражба на податоци, ransomware и DDoS напади…