up_icon
Internet IoT Security

«Έξυπνο» χακάρισμα: H Kaspersky Lab ανακαλύπτει «έξυπνο» οικιακό hub ευάλωτο στις απομακρυσμένες επιθέσεις

27 Φεβρουαρίου 2018 Yannis Elpidis

«Έξυπνο» χακάρισμα: H Kaspersky Lab ανακαλύπτει «έξυπνο» οικιακό hub ευάλωτο στις απομακρυσμένες επιθέσεις

Οι ερευνητές της Kaspersky Lab ανακάλυψαν ευπάθειες σε ένα «έξυπνο» οικιακό hub που χρησιμοποιείται για τη διαχείριση όλων των συνδεδεμένων μονάδων και αισθητήρων που βρίσκονται εγκατεστημένα σε ένα σπίτι. Η ανάλυση αποκαλύπτει ότι είναι δυνατό για έναν απομακρυσμένο εισβολέα να έχει πρόσβαση στον server του προϊόντος και να κάνει λήψη ενός αρχείου που περιέχει τα προσωπικά δεδομένα διαφόρων χρηστών, τα οποία είναι απαραίτητα για να αποκτήσουν πρόσβαση στον λογαριασμό τους και ως αποτέλεσμα να αποκτήσουν τον έλεγχο των οικιακών τους συστημάτων.

Ενώ η δημοτικότητα των συνδεδεμένων συσκευών συνεχίζει να αυξάνεται, οι «έξυπνοι» οικιακοί κόμβοι (hub) έχουν ιδιαίτερα μεγάλη ζήτηση. Κάνουν τη διαχείριση των σπιτιών πολύ ευκολότερη, συνδυάζοντας όλες τις ρυθμίσεις της συσκευής σε ένα μέρος και επιτρέποντας στους χρήστες να τις ρυθμίζουν και να τις ελέγχουν μέσω web-interfaces ή mobile εφαρμογών. Ορισμένα από αυτά χρησιμεύουν ακόμη και ως συστήματα ασφάλειας. Την ίδια στιγμή, η ύπαρξη ενός "ενοποιητή" καθιστά τη συσκευή αυτή έναν ελκυστικό στόχο για ψηφιακούς εγκληματίες, καθώς θα μπορούσε να τους χρησιμεύσει ως σημείο εισόδου για απομακρυσμένες επιθέσεις. Νωρίτερα το περασμένο έτος, η Kaspersky Lab εξέτασε μια «έξυπνη» οικιακή συσκευή που αποδείχθηκε ότι παρέχει μια τεράστια επιφάνεια επιθέσεων για εισβολείς, βασισμένη σε αδύναμους αλγόριθμους δημιουργίας κωδικών πρόσβασης και σε ανοιχτές θύρες. Κατά τη διάρκεια της νέας έρευνας, οι ερευνητές ανακάλυψαν ότι ένας επισφαλής σχεδιασμός και πολλά τρωτά σημεία στην αρχιτεκτονική της «έξυπνης» συσκευής θα μπορούσαν να προσφέρουν στους εγκληματίες πρόσβαση στο σπίτι κάποιου.

Αρχικά, οι ερευνητές ανακάλυψαν ότι το hub στέλνει τα δεδομένα του χρήστη όταν επικοινωνεί με έναν server, συμπεριλαμβανομένων των στοιχείων σύνδεσης που απαιτούνται για την είσοδο στο web interface του «έξυπνου» hub - το user ID και τον κωδικό πρόσβασης. Επιπλέον, μπορούν να αναγράφονται και άλλες προσωπικές πληροφορίες όπως ο αριθμός τηλεφώνου του χρήστη που χρησιμοποιείται για ειδοποιήσεις. Οι απομακρυσμένοι εισβολείς μπορούν να κατεβάσουν το αρχείο με αυτές τις πληροφορίες στέλνοντας ένα νόμιμο αίτημα στον server που περιλαμβάνει τον σειριακό αριθμό της συσκευής. Και η ανάλυση δείχνει ότι ο σειριακός αριθμός μπορεί επίσης να ανακαλυφθεί από τους εισβολείς ως αποτέλεσμα των απλοϊκών μεθόδων δημιουργίας του.

Σύμφωνα με τους ειδικούς, οι σειριακοί αριθμοί μπορούν πέσουν θύματα brute-forcing με τη χρήση λογικής ανάλυσης και στη συνέχεια να επιβεβαιωθούν μέσω αιτήματος προς τον server. Αν μια συσκευή με τον εν λόγω σειριακό αριθμό καταχωρηθεί σε ένα σύστημα στο cloud, οι εγκληματίες θα λάβουν επιβεβαιωτικές πληροφορίες. Ως αποτέλεσμα, μπορούν να συνδεθούν στον διαδικτυακό λογαριασμό του χρήστη και να διαχειριστούν τις ρυθμίσεις των αισθητήρων και των ελεγκτών που είναι συνδεδεμένοι στο hub.
Όλες οι πληροφορίες σχετικά με τα ευρήματα που εντοπίστηκαν έχουν αναφερθεί στον πωλητή και έχουν επιλυθεί.

Όπως δήλωσε ο Vladimir Dashchenko, Head of vulnerabilities research group στο Kaspersky Lab ICS CERT.

"Αν και οι συσκευές IoT ήταν στο επίκεντρο του ενδιαφέροντος των ερευνητών ψηφιακής ασφάλειας τα τελευταία χρόνια, εξακολουθούν να αποδεικνύονται επισφαλείς. Επιλέξαμε τυχαία το «έξυπνο» οικιακό hub και το γεγονός ότι το βρήκαμε ευάλωτο δεν αποτελεί εξαίρεση, αλλά μια ακόμη επιβεβαίωση των συνεχών προβλημάτων ασφάλειας στον κόσμο του Διαδικτύου. Φαίνεται τώρα ότι κυριολεκτικά κάθε συσκευή IoT - ακόμα και κάποια πολύ απλή - περιέχει τουλάχιστον ένα ζήτημα ασφάλειας. Για παράδειγμα, αναλύσαμε πρόσφατα έναν «έξυπνο» λαμπτήρα. Τι θα μπορούσε να πάει στραβά με έναν λαμπτήρα που μόνο σας επιτρέπει να αλλάξετε το χρώμα του φωτός και κάποιες άλλες παραμέτρους φωτισμού που μπορεί να θελήσετε μέσω του smartphone σας; Λοιπόν βρήκαμε ότι όλα τα στοιχεία σύνδεσης σε δίκτυα Wi-Fi, δηλαδή τα ονόματα και οι κωδικοί πρόσβασης, στα οποία είχε συνδεθεί προηγουμένως ο λαμπτήρας, αποθηκεύονται στη μνήμη του χωρίς κρυπτογράφηση. Με άλλα λόγια, η σημερινή κατάσταση στη σφαίρα ασφάλειας του Διαδικτύου είναι ότι ακόμη και ο λαμπτήρας σας μπορεί να σας υπονομεύσει

Είναι πολύ σημαντικό για τους κατασκευαστές να εξασφαλίζουν την κατάλληλη προστασία των χρηστών τους και να δίνουν ιδιαίτερη προσοχή στις απαιτήσεις ασφάλειας κατά την ανάπτυξη και την κυκλοφορία των προϊόντων τους, διότι ακόμη και μικρές λεπτομέρειες επισφαλούς σχεδιασμού μπορούν να οδηγήσουν σε επικίνδυνες συνέπειες"

Προκειμένου να παραμείνουν προστατευμένοι, η Kaspersky Lab συμβουλεύει τους χρήστες:

  • Χρησιμοποιείτε πάντα έναν σύνθετο κωδικό πρόσβασης και μην ξεχνάτε να τον αλλάζετε τακτικά.
  • Αυξήστε την ευαισθητοποίησή σας στον τομέα της ασφάλειας, ελέγχοντας τις πιο πρόσφατες πληροφορίες σχετικά με τις ευπάθειες που εντοπίστηκαν και επιδιορθώθηκαν στις «έξυπνες» συσκευές, οι οποίες είναι συνήθως διαθέσιμες στο διαδίκτυο.

Για να διασφαλίσετε την ασφάλεια του «έξυπνου» σπιτιού σας και του Internet of Things, η Kaspersky Lab προσφέρει τη δωρεάν εφαρμογή της για την πλατφόρμα Android, Scanner Kaspersky IoT. Η λύση σαρώνει το οικιακό δίκτυο Wi-Fi, ενημερώνοντας τον χρήστη σχετικά με τις συσκευές που είναι συνδεδεμένες σε αυτό και το επίπεδο ασφάλειάς τους.

Για να μετριαστούν οι κίνδυνοι ψηφιακής ασφάλειας, η Kaspersky Lab συμβουλεύει τους κατασκευαστές και τους προγραμματιστές να διεξάγουν πάντα ελέγχους ασφάλειας προτού κυκλοφορήσουν τα προϊόντα και να ακολουθήσουν τα IoT πρότυπα ψηφιακής ασφάλειας. Πρόσφατα, η Kaspersky Lab συνέβαλε στο πρότυπο ITU-T Y.4806 (Διεθνής Ένωση Τηλεπικοινωνιών – Τομέας Τηλεπικοινωνιών), το οποίο δημιουργήθηκε για να βοηθήσει στη διατήρηση της σωστής προστασίας των IoT συστημάτων, συμπεριλαμβανομένων «έξυπνων» πόλεων, wearable, αυτόνομων ιατρικών συσκευών και πολλών άλλων.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑΣΤΕ
ΣΧΟΛΙΑ
read more

Νέοι ψηφιακοί κίνδυνοι: 5 νέες τάσεις που πρέπει να γνωρίζετε

28 Σεπτεμβρίου 2023 Techgear Team

Η επιβολή του νόμου είναι ένα σημαντικό κομμάτι του πάζλ στη μάχη κατά των εγκληματιών του ψηφιακού κόσμου. Ένα άλλο κομμάτι είναι οι καταναλωτές και οι επιχειρήσεις, που μπορούν - και πρέπει - να συνεχίσουν να...

«Μάθε πού Ψηφίζεις»: Σε λειτουργία από σήμερα η ψηφιακή πλατφόρμα

27 Σεπτεμβρίου 2023 Techgear Team

Σε λειτουργία τέθηκε την Τετάρτη 27 Σεπτεμβρίου η ψηφιακή πλατφόρμα του Υπουργείου Εσωτερικών «Μάθε πού Ψηφίζεις» στον ηλεκτρονικό σύνδεσμο https://mpp.ypes.gov.gr/ ενόψει των Αυτοδιοικητικών Εκλογών της 8ης ...

Η WatchGuard εξαγοράζει τη CyGlass

27 Σεπτεμβρίου 2023 Techgear Team

Η WatchGuard Technologies, παγκόσμιος ηγέτης στην ενοποιημένη ασφάλεια στον κυβερνοχώρο, ανακοίνωσε την εξαγορά της CyGlass Technology Services, κορυφαίου παρόχου λύσεων ανίχνευσης και απόκρισης απειλών με ...

Πώς να προστατεύσετε το εμπορικό σας σήμα από απειλές στο διαδίκτυο

26 Σεπτεμβρίου 2023 Techgear Team

Σύμφωνα με την τελευταία έκθεση της Kaspersky για το spam και το phishing το 2022, οι ιστοσελίδες που παριστάνουν υπηρεσίες delivery είχαν το υψηλότερο ποσοστό κλικ σε συνδέσμους phishing (27,38%) που ...

TikTok: Ξεκίνησε δοκιμές εμφάνισης αποτελεσμάτων αναζήτησης από το Google Search

22 Σεπτεμβρίου 2023 Christos Elpidis

Όπως συνέβαινε κάποτε με το Facebook, έτσι και τώρα η ιστορία επαναλαμβάνεται με το TikTok, από την άποψη ότι πολύς κόσμος το χρησιμοποιεί και ως μηχανή αναζήτησης για τα θέματα που τον ενδιαφέρουν. Γι’ αυτό ...

Η Trend Micro συνεργάζεται με την INTERPOL για την εξάρθρωση επιχείρησης phising

21 Σεπτεμβρίου 2023 Techgear Team

Η Trend Micro ανακοινώνει ότι η στενή συνεργασία της με την Διεθνή Οργάνωση Εγκληματολογικής Αστυνομίας, γνωστή ως INTERPOL, οδήγησε σε ακόμη μια σημαντική νίκη, μετά την εξάρθρωση επιχείρησης με λειτουργία ...

Google Bard: Ενσωματώνεται στα Maps, YouTube, Drive, Docs, Flights και Gmail

19 Σεπτεμβρίου 2023 Christos Elpidis

Η Google επεκτείνει την λειτουργικότητα του AI εργαλείου Google Bard σε περισσότερες υπηρεσίες της, καθώς οι χρήστες θα μπορούν να το ενεργοποιήσουν στα Gmail, Docs, Maps, YouTube, Google Flights και Drive ...

ΑΑΔΕ: Νέο μνημόνιο συνεργασίας με τις ψηφιακές πλατφόρμες Airbnb, Booking και Expedia Group/VRBO

19 Σεπτεμβρίου 2023 Techgear Team

Η Ανεξάρτητη Αρχή Δημοσίων Εσόδων, σε συνεχή εποικοδομητικό διάλογο με τις δημοφιλείς πλατφόρμες Βραχυχρόνιας Μίσθωσης Airbnb, Booking.com και Expedia Group/VRBO, υπέγραψε επικαιροποιημένο Μνημόνιο Συνεργασίας....

Τι αναζήτησαν τα παιδιά στο διαδίκτυο φέτος το καλοκαίρι

19 Σεπτεμβρίου 2023 Techgear Team

Μια νέα μελέτη του Kaspersky Safe Kids ανέδειξε το περιεχόμενο του YouTube που επικράτησε στις προτιμήσεις των παιδιών κατά το διάστημα Ιούνιος - Αύγουστος 2023. Η σειρά κινουμένων σχεδίων Skibidi Toilet ...

Στην Ελλάδα ένα από τα υψηλότερα ποσοστά πειρατείας ζωντανών αθλητικών διοργανώσεων

19 Σεπτεμβρίου 2023 Techgear Team

Σύμφωνα με έκθεση που δημοσιεύθηκε σήμερα από το Γραφείο Διανοητικής Ιδιοκτησίας της Ευρωπαϊκής Ένωσης (EUIPO) αποκαλύπτεται ότι η ψηφιακή πειρατεία αυξήθηκε κατά 3,3 % το 2022. Η αύξηση συνδέεται σε μεγάλο ...

Loader
please wait
techgear_icon