A A A

System sterujący inteligentnym domem podatny na ataki

3 marca 2018, 14:00
Badacze z Kaspersky Lab wykryli luki w zabezpieczeniach systemu wykorzystywanego do zarządzania wszystkimi podłączonymi do niego modułami i czujnikami, które są zainstalowane w inteligentnym domu.
System sterujący inteligentnym domem podatny na ataki

Wraz z ciągłym wzrostem popularności urządzeń połączonych z internetem istnieje duże zapotrzebowanie na centra zawiadujące inteligentnymi domami. Urządzenia te znacznie ułatwiają zarządzanie domem, skupiając w jednym miejscu ustawienia wszystkich urządzeń i umożliwiając użytkownikom skonfigurowanie i zarządzanie swoimi urządzeniami za pośrednictwem interfejsów WWW lub aplikacji mobilnych. Niektóre z nich pełnią nawet funkcję systemu bezpieczeństwa. Z drugiej strony, jako swego rodzaju „łącznik", tego typu urządzenie stanowi atrakcyjny cel cyberprzestępców, którzy mogą wykorzystać je do przeprowadzenia zdalnych ataków. Podczas nowego badania eksperci z Kaspersky Lab odkryli, że konstrukcja nieuwzględniająca kwestii bezpieczeństwa w połączeniu z kilkoma lukami w zabezpieczeniach architektury inteligentnego urządzenia mogą umożliwić przestępcom dostęp do cudzego domu.

Po pierwsze, badacze odkryli, że podczas komunikacji z serwerem centrum wysyła dane użytkownika, łącznie z danymi uwierzytelniającymi logowanie, które są niezbędne w celu uzyskania dostępu do interfejsu WWW inteligentnego centrum - na które składa się identyfikator użytkownika oraz hasło. Można tu wymienić również inne informacje osobowe, takie jak numer telefonu użytkownika wykorzystywany do wysyłania alertów. Zdalny atakujący może pobrać archiwum zawierające te informacje poprzez wysłanie legalnego żądania do serwera, które obejmuje numer seryjny urządzenia. Z analizy wynika, że identyfikację numeru seryjnego umożliwia intruzom wykorzystanie bardzo prostych metod ich generowania.

Według ekspertów numery seryjne można złamać metodą siłową, wykorzystując do tego analizę logiczną, a następnie potwierdzić je za pomocą żądania do serwera. Jeśli urządzenie z danym numerem seryjnym jest zarejestrowane w chmurze, przestępcy otrzymają informacje potwierdzające. Następnie będą mogli zalogować się do konta WWW użytkownika i zarządzać ustawieniami połączonych z centrum czujników i sterowników.

Wszystkie informacje dotyczące wykrytych luk w zabezpieczeniach zostały zgłoszone producentowi i obecnie trwają prace nad usunięciem problemu.


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Ocena:
Oceń:
Komentarze (5)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
koneton
koneton
5 marca 2018, 20:00
kamel16 napisał(a): Ale gdy podobno wykryto lukę (mówię o meltdown i spectre) w większości typów procesorów, to szum zrobiono jeszcze przed wydaniem stosownych poprawek. To hipokryzja. Te luki były znane od wielu lat. Wcześniej po prostu ich wykorzystanie było trudne technicznie do realizacji. Problem stał się palący gdy powstały gotowe PoC na te dziury.
ptrick
ptrick
5 marca 2018, 18:12
No cóż, meltdown chyba inne osoby znalazły. Może to kwestia polityki organizacji?
kamel16
kamel16
4 marca 2018, 09:56
Ale gdy podobno wykryto lukę (mówię o meltdown i spectre) w większości typów procesorów, to szum zrobiono jeszcze przed wydaniem stosownych poprawek. To hipokryzja.
ptrick
ptrick
4 marca 2018, 00:26
Pewnie dlatego, że producent jeszcze nie wprowadził poprawek, albo taka była umowa producenta z Kasperskylab.
kamel16
kamel16
3 marca 2018, 21:07
Czemu nie podano co to konkretnie za system?
Najnowsze aktualności



Telewizor co 15 sekund
19 lutego 2019
W zeszłym roku połowę kupionych w Polsce telewizorów Samsung stanowiły modele Smart TV w rozdzielczości UHD (4K).

Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto