Оффтоп PositiveTechnologies
118

Рободьявол в деталях, или Welcome to Help!

В закладки

Интернет вещей всё активнее проникает в наши дома. Сегодня уже никого не удивишь умным чайником, кондиционером и уж тем более «умным пылесосом», или, как обычно его называют, роботом-пылесосом. Сотрудник компании Positive Technologies, специализирующейся на производстве ПО в сфере кибербезопасности, исследовал несколько моделей умных пылесосов и пришёл к печальному выводу – они уязвимы. Рассказываем, чем же так страшен робот-уборщик и как найти управу на собственный IoT-девайс.

Если вам помогает по дому робот-пылесос, не спешите радоваться – возможно, у вас поселился домашний шпион, который помимо своих прямых обязанностей, а именно чистки и уборки, может:

· подсматривать за вами

· подслушивать ваши разговоры

· передавать всё, что твориться в вашем жилище, в интернет

· майнить криптовалюту (к сожалению, не для вас, но за ваш счёт за электричество)

А всё потому, что ваш помощник – это компьютер. Роботом-пылесосом можно управлять со своего смартфона из любой точки мира, а сам уборщик умеет отправлять фото и видео на ваш смартфон, если вдруг вы этого захотите и сигнализировать о всех перемещениях в квартире, в том числе и подозрительных. А еще такой «умный помощник» при подключении к Wi-Fi хранит у себя логин и пароль от него.

К сожалению, всем этим функционалом могут воспользоваться злоумышленники, а примерный круг последствий мы очертили выше.

Анализируя безопасность IoT-устройства эксперт Positive Technologies, нашёл под крышкой пылесоса USB-порт. Казалось бы, зачем он пылесосу? Также он обнаружил, что девайс работает на ОС Linux, что его страшно насторожило: это же настоящий домашний шпион. Кстати, почему обязательно домашний? Такой пылесос злоумышленник запросто может купить, перепрограммировать и запустить в организацию под видом обычного уборщика.

Опытным образцом оказался робот-пылесос Dongguan diqee360.

Пылесос обладал всем, чем нужно для профессионального шпиона: веб-камера с поддержкой режима ночного видения и системы управления местоположением со смартфона, Wi-Fi-приёмник, возможность подключения с мобильного устройства, а также управления из любой точки мира. К самому же подопытному девайсу, как выяснилось могут подключаться до 6 человек одновременно. Интересно, зачем? Чтобы проводить аудиоконференцию? Очевидно, да, учитывая, что девайс мог передавать также и голос.

И весь этот функционал оказался насквозь «дырявым». Например, обнаруженная угроза, связанная с возможностью удалённого выполнения кода, могла позволить злоумышленнику выполнять команды от лица администратора, чьи права гораздо шире, чем у владельца. Другая уязвимость позволяла атакующему, используя недостатки механизма обновления пылесоса с помощью microSD-карты, перехватывать конфиденциальные данные в сетевом трафике, например, фото его владельцев или данные банковского счёта. Воспользовавшись такой уязвимостью, преступник может захватить контроль над другими устройствами, по сути сделав ваш пылесос этаким мостом в вашу уютную домашнюю сеть со всеми её внутренностями и секретами.

Но самым страшным оказалось, пожалуй, даже не это. А то, что модули веб-камер для данного пылесоса от одного китайского производителя используются для множества других IoT-устройств и все они могут быть скомпрометированы. Уйма умных чайников, пылесосов, дверных звонков и ионизаторов воздуха по всему миру в руках опытных хакеров могут из мирных девайсов превратиться в роботизированных монстров, атакующих своих собственных хозяев. А между тем преступник может захватить ваш «умный пылесос» в ботнет и использовать для DDoS-атаки. Или того хуже. Если захваченный в ботнет девайс окажется замешан в целевой кибератаке, расследование инцидента рано или поздно выявит его айпишник. Оказаться замешанным в киберпреступлении из-за пылесоса – это ли не подлинная кибертрагикомедия наших дней?

Что же делать?

К хорошему быстро привыкаешь и возвращаться от цифрового помощника к аналоговым тряпке с ведром не хочется никому. Что же может предпринять обладатель робота-пылесоса, чтобы хоть немного обезопасить себя? Вот несколько советов:

1. Не используйте стандартные пароли. Владельцы IoT-устройств далеко не всегда меняют предустановленный производителем логин и пароль. Например, по данным исследований Positive Technologies, эта же проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Дефолтный пароль из шести восьмёрок (888888) знают все хакеры в пределах Солнечной системы. Меняйте их срочно!

2. Разделите свою Wi-Fi-сеть на домашнюю и гостевую, и подключайте свой девайс только к гостевой сетке.

3. Подумайте хорошенько, точно ли вам в пылесосе нужна работающая камера, снимающая всё на своём пути. Если нет – закройте её специальной крышкой (нет крышки – залепите скотчем).

Думайте за себя и своего «умного помощника». Конечно, это не убережёт вас полностью от неприятных последствий, но сможет значительно снизить риск их возникновения.

Stay safe!

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "PositiveTechnologies", "author_type": "self", "tags": [], "comments": 0, "likes": 2, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 42422, "is_wide": false, "is_ugc": true, "date": "Mon, 23 Jul 2018 15:54:17 +0300" }
{ "id": 42422, "author_id": 114459, "diff_limit": 1000, "urls": {"diff":"\/comments\/42422\/get","add":"\/comments\/42422\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/42422"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

Комментариев нет 0 комм.

Популярные

По порядку

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления