Рободьявол в деталях, или Welcome to Help!
Интернет вещей всё активнее проникает в наши дома. Сегодня уже никого не удивишь умным чайником, кондиционером и уж тем более «умным пылесосом», или, как обычно его называют, роботом-пылесосом. Сотрудник компании Positive Technologies, специализирующейся на производстве ПО в сфере кибербезопасности, исследовал несколько моделей умных пылесосов и пришёл к печальному выводу – они уязвимы. Рассказываем, чем же так страшен робот-уборщик и как найти управу на собственный IoT-девайс.
Если вам помогает по дому робот-пылесос, не спешите радоваться – возможно, у вас поселился домашний шпион, который помимо своих прямых обязанностей, а именно чистки и уборки, может:
· подсматривать за вами
· подслушивать ваши разговоры
· передавать всё, что твориться в вашем жилище, в интернет
· майнить криптовалюту (к сожалению, не для вас, но за ваш счёт за электричество)
А всё потому, что ваш помощник – это компьютер. Роботом-пылесосом можно управлять со своего смартфона из любой точки мира, а сам уборщик умеет отправлять фото и видео на ваш смартфон, если вдруг вы этого захотите и сигнализировать о всех перемещениях в квартире, в том числе и подозрительных. А еще такой «умный помощник» при подключении к Wi-Fi хранит у себя логин и пароль от него.
К сожалению, всем этим функционалом могут воспользоваться злоумышленники, а примерный круг последствий мы очертили выше.
Анализируя безопасность IoT-устройства эксперт Positive Technologies, нашёл под крышкой пылесоса USB-порт. Казалось бы, зачем он пылесосу? Также он обнаружил, что девайс работает на ОС Linux, что его страшно насторожило: это же настоящий домашний шпион. Кстати, почему обязательно домашний? Такой пылесос злоумышленник запросто может купить, перепрограммировать и запустить в организацию под видом обычного уборщика.
Опытным образцом оказался робот-пылесос Dongguan diqee360.
Пылесос обладал всем, чем нужно для профессионального шпиона: веб-камера с поддержкой режима ночного видения и системы управления местоположением со смартфона, Wi-Fi-приёмник, возможность подключения с мобильного устройства, а также управления из любой точки мира. К самому же подопытному девайсу, как выяснилось могут подключаться до 6 человек одновременно. Интересно, зачем? Чтобы проводить аудиоконференцию? Очевидно, да, учитывая, что девайс мог передавать также и голос.
И весь этот функционал оказался насквозь «дырявым». Например, обнаруженная угроза, связанная с возможностью удалённого выполнения кода, могла позволить злоумышленнику выполнять команды от лица администратора, чьи права гораздо шире, чем у владельца. Другая уязвимость позволяла атакующему, используя недостатки механизма обновления пылесоса с помощью microSD-карты, перехватывать конфиденциальные данные в сетевом трафике, например, фото его владельцев или данные банковского счёта. Воспользовавшись такой уязвимостью, преступник может захватить контроль над другими устройствами, по сути сделав ваш пылесос этаким мостом в вашу уютную домашнюю сеть со всеми её внутренностями и секретами.
Но самым страшным оказалось, пожалуй, даже не это. А то, что модули веб-камер для данного пылесоса от одного китайского производителя используются для множества других IoT-устройств и все они могут быть скомпрометированы. Уйма умных чайников, пылесосов, дверных звонков и ионизаторов воздуха по всему миру в руках опытных хакеров могут из мирных девайсов превратиться в роботизированных монстров, атакующих своих собственных хозяев. А между тем преступник может захватить ваш «умный пылесос» в ботнет и использовать для DDoS-атаки. Или того хуже. Если захваченный в ботнет девайс окажется замешан в целевой кибератаке, расследование инцидента рано или поздно выявит его айпишник. Оказаться замешанным в киберпреступлении из-за пылесоса – это ли не подлинная кибертрагикомедия наших дней?
Что же делать?
К хорошему быстро привыкаешь и возвращаться от цифрового помощника к аналоговым тряпке с ведром не хочется никому. Что же может предпринять обладатель робота-пылесоса, чтобы хоть немного обезопасить себя? Вот несколько советов:
1. Не используйте стандартные пароли. Владельцы IoT-устройств далеко не всегда меняют предустановленный производителем логин и пароль. Например, по данным исследований Positive Technologies, эта же проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Дефолтный пароль из шести восьмёрок (888888) знают все хакеры в пределах Солнечной системы. Меняйте их срочно!
2. Разделите свою Wi-Fi-сеть на домашнюю и гостевую, и подключайте свой девайс только к гостевой сетке.
3. Подумайте хорошенько, точно ли вам в пылесосе нужна работающая камера, снимающая всё на своём пути. Если нет – закройте её специальной крышкой (нет крышки – залепите скотчем).
Думайте за себя и своего «умного помощника». Конечно, это не убережёт вас полностью от неприятных последствий, но сможет значительно снизить риск их возникновения.
Stay safe!