Teie Philips Hue’i ja Nesti süsteemid võivad olla rünnakuteks avatud

Viimati uuendatud veebr. 24, 2023

Kui me räägime turvalisusest – ja peame silmas oma kodu küberturvalisust –, kujutab enamik meist ette Bondi filmitaseme häkkereid pimedates ruumides, kes kasutavad asjatundlikult ära meie kaameraid, alarme ja ukselukke.

Kuid kui nutiseadmed muutuvad digitaalsetesse ökosüsteemidesse – Nest, Google Assistant ja Alexa, kui nimetada vaid mõnda –, võib isegi üks nõrk lüli jätta kõik seadmed rünnakuteks avatuks. Ja uued uuringud näitavad, et meie nutikad elektripirnid ja ühendatud kohvimasinad võivad meie kodudest lahkuda.

Suur otsus: Philips Hue ülevaade

William & Mary kolledži arvutiteadlaste meeskond katsetas mitmete praegu turul olevate nutikate kodutoodete turvalisust ja avastas olulisi haavatavusi, mis võivad tähendada, et tehnoloogiaettevõtted peavad oma seadmete interaktsiooni ümber mõtlema.

Meeskond uuris rünnakut, mida nimetatakse "külgmiste privileegide eskaleerimiseks", mis ohustab madala panusega seadet või rakendust, et saada juurdepääs suure panusega seadmele, näiteks turvakaamerale. Tulemused näitavad vigu, mitte tingimata seadmetes endis, vaid platvormide arhitektuur, mis on targa kodu keskne keskus.

Ja kuigi liiga sageli leitakse neid turvaauke käputäiele inimestele kuuluvates nimetutes seadmetes, leidis uurimisrühm nende hindamise käigus probleeme, mis nõuavad täiustamist nii Philips Hue'i kui ka Nesti toodete puhul.

"See on tarkvaraprobleem, mis levib füüsilisse keskkonda ja seda ei saa kohe parandada," ütles uuringu autor Adwait Nadkarni, William & Mary arvutiteaduse dotsent. "Kui te neid madala turvalisusega seadmeid ei kindlusta, võib isegi kaudne side nende kahe seadme vahel teie nutikodu ohtu seada."

Nadkarni ja tema kolleegid kasutasid simuleeritud nutika kodu seadistust, kus nad ühendasid mitu seadet nutika kodu platvormiga ja nägid, kui kaugele võivad rünnakud ulatuda. Kuna 2020. aastaks on prognooside kohaselt kasutusel üle 20 miljardi nutikodu toote, on nende tööl kaugeleulatuv mõju kasutajate füüsilisele ohutusele. Uuring on vastu võetud Arvutusmasinate Ühenduse (ACM) andme- ja rakenduste turvalisuse ja privaatsuse konverentsile ning seda esitletakse 2019. aasta märtsis.

Su rutiinidesse imbumine

Kodu automatiseerimist juhib rutiinide rakendamine, mis on rakenduse ja seadme toimingute jada, mis käivitatakse ühel või mitmel päästikul. Näiteks kui lülitate enne majast lahkumist signalisatsiooni sisse, saate oma nutika termostaadi programmeerida automaatselt välja lülituma, et säästa elektrit. Nutikad koduplatvormid, nagu Google Works with Nest, Samsung SmartThings ja Philips Hue, jälgivad kõiki ühendatud seadmeid ja nende olekut tsentraliseeritud andmesalves muutujate kaudu.

"Kohalolekuandur näitab, kas kasutaja on kodus, ja kohandab seda muutujat tsentraliseeritud andmesalves vastavalt," ütles Nadkarni. "Siis reageerivad ülejäänud seadmed kodus viibides nii, nagu soovite – tuled süttivad, termostaat lülitub sisse jne –, kuid mõnel juhul saab neid muutujaid ära kasutada."

Näiteks võivad häkkerid ohustada madala turvalisusega seadmeid, nagu teie tuled, millel on juurdepääs kohaloleku muutujale. Kui nad muudavad selle olekut ja ütlevad valelikult platvormile, et olete kodus, kui olete tõesti miilide kaugusel puhkusel, võivad ründajad muuta kõrge turvalisusega seadmete, nagu kaamerad ja ukselukud, tegevust.

Uurijad leidsid, et Nesti toetatud rutiinid võimaldavad madala turvalisusega seadmetel ja rakendustel kaudselt muuta kõrge turvalisusega seadmete olekut, muutes jagatud muutujaid, millele nad mõlemad tuginevad. Nad suutsid teostada külgmise privileegide eskalatsiooni, kahjustades Kasa rakendust, muutes kaudselt muutuja olekut, mis lülitas Nesti turvakaamera välja.

"Kui asjad jätkuvad nii nagu nad on, suureneb turvaprobleemide arv plahvatuslikult, kuna inimesed lisavad oma nutikatesse kodudesse rohkem seadmeid," ütles uuringu autor Denys Poshyvanyk, William & Mary arvutiteaduse dotsent. "Kuid kui tehakse süstemaatilisi jõupingutusi nende platvormide ümberkujundamiseks turvalisust silmas pidades, saab neid rünnakuid ära hoida, kuid see eeldaks teatud ühiste standardite vastuvõtmist nende ettevõtete poolt."

Mitmed uuringus mainitud ettevõtted, sealhulgas Google ja Philips, on Nadkarnile ja Poshyvanykile kinnitanud, et nende insenerid uurivad neid turvaprobleeme. Konsultatsioonifirma Independent Security Evaluators turbeanalüütik Joshua Meyer, kes ei osalenud uuringus, usub, et tootjad peavad arvestama turvalisusega alates toote või platvormi kõige varasemast projekteerimisetapist. Kuid ta tunnistab ka, et kolmandate osapoolte rakendused võivad võrku tuua ootamatuid turvariske.

"Iga rakendus või seade, mida nad ei kontrolli, võib võrku tuua turvariske. Nutika kodu valdkond on selles osas problemaatiline, kuna eeldatakse, et mitme tootja mitmed seadmed töötavad koos, "ütles Meyer.

"Nutikad koduplatvormid peavad nägema ette mõne seadme loomupärase ebaturvalisuse ja pakkuma teistele võrgus olevatele seadmetele tugevat turvakontrolli."

Loomulikult võitlevad tehnoloogiaettevõtted igal rindel nutikate koduseadmete turvalisuse nimel. Kui seadmetele ebaseaduslik juurdepääs on üks asi, siis seadmete orjastamine botnettide osana on hoopis teine asi – ja see on hästi dokumenteeritud oht järgmisteks aastateks. See näitab, et nagu Mayer järeldas, on ülioluline, et meie kodudes töötavate ökosüsteemide eest vastutavad isikud keskenduksid nii turvalisusele kui ka uutele funktsioonidele.