Kun puhumme turvallisuudesta – ja tarkoitamme kotimme kyberturvallisuutta – useimmat meistä kuvittelevat Bond-filmitason hakkereita hämärissä huoneissa, jotka hyödyntävät asiantuntevasti kameroitamme, hälyttimiämme ja ovien lukkojamme.
Mutta kun älylaitteet sotkeutuvat digitaalisiin ekosysteemeihin – Nest, Google Assistant ja Alexa vain muutamia mainitakseni – jopa yksi heikko lenkki voi jättää kaikki laitteet auki hyökkäyksille. Ja uusi tutkimus osoittaa, että älykkäät hehkulamput ja siihen kytketyt kahvinkeittimet voivat olla vaarassa lähteä kodeistamme.
Suuri tuomio: Philips Hue -arvostelu
College of William & Maryn tietojenkäsittelytieteilijät testasivat useiden tällä hetkellä markkinoilla olevien älykotituotteiden turvallisuutta ja löysivät merkittäviä haavoittuvuuksia, jotka saattavat tarkoittaa, että teknologiayritysten on harkittava uudelleen tapaa, jolla niiden laitteet toimivat.
Tiimi tarkasteli hyökkäystä nimeltä "lateral privilege escalation", joka vaarantaa matalan panoksen laitteen tai sovelluksen päästäkseen käsiksi korkean panoksen laitteeseen, kuten turvakameraan. Tulokset paljastavat puutteita, ei välttämättä itse laitteissa, vaan älykodin keskipisteenä toimivien alustojen arkkitehtuuri.
Ja vaikka näitä haavoittuvuuksia löytyy aivan liian usein muutamien ihmisten omistamista ei-name-laitteista, tutkimusryhmä havaitsi arvioinnin aikana ongelmia, jotka vaativat parantamista sekä Philips Hue- että Nest-tuotteissa.
"Se on ohjelmisto-ongelma, joka leviää fyysiseen ympäristöön, eikä sitä voi heti korjata", sanoi tutkimuksen kirjoittaja Adwait Nadkarni, William & Maryn tietojenkäsittelytieteen apulaisprofessori. "Jos et suojaa näitä heikosti suojattuja laitteita, jopa epäsuora viestintä näiden kahden laitteen välillä voi vaarantaa älykotisi."
Nadkarni ja hänen kollegansa käyttivät simuloitua älykodin asennusta, jossa he liittivät useita laitteita älykkään kodin alustaan ja näkivät, kuinka pitkälle hyökkäykset voivat mennä. Yli 20 miljardin älykodin tuotteen ennustetaan olevan käytössä vuoteen 2020 mennessä, joten niiden työllä on kauaskantoisia vaikutuksia käyttäjien fyysiseen turvallisuuteen. Tutkimus on hyväksytty ACM (Association for Computing Machinery) tietojen ja sovellusten turvallisuutta ja yksityisyyttä käsittelevään konferenssiin, ja se esitellään maaliskuussa 2019.
Tunkeutuminen rutiineihinne
Kodin automaatiota ohjaa rutiinien toteuttaminen, jotka ovat sovellus- ja laitetoimintojen sarjoja, jotka suoritetaan yhdellä tai useammalla triggerillä. Kun esimerkiksi kytket hälytysjärjestelmän päälle ennen kotoa poistumista, voit ohjelmoida älytermostaatin sammumaan automaattisesti sähkön säästämiseksi. Älykodin alustat, kuten Googlen Works with Nest, Samsung SmartThings ja Philips Hue, seuraavat kaikkia yhdistettyjä laitteita ja niiden tilaa muuttujien avulla keskitetyssä tietovarastossa.
"Läsnäolotunnistin ilmoittaa, onko käyttäjä kotona ja säätää muuttujaa keskitetyssä tietovarastossa vastaavasti", Nadkarni sanoi. "Sitten muut laitteet reagoivat haluamallasi tavalla kotona ollessasi – valot syttyvät, termostaatti syttyy jne. – mutta joissain tapauksissa näitä muuttujia voidaan hyödyntää."
Esimerkiksi hakkerit voivat vaarantaa heikosti suojatun laitteen, kuten valosi, joilla on pääsy läsnäolomuuttujaan. Jos he muuttavat sen tilaa kertoakseen virheellisesti, että olet kotona, kun olet todella kilometrien päässä lomalla, hyökkääjät voivat muuttaa korkean turvallisuuden laitteiden, kuten kameroiden ja ovien lukkojen, toimintaa.
Tutkijat havaitsivat, että Nestin tukemat rutiinit sallivat heikosti turvallisten laitteiden ja sovellusten muuttaa epäsuorasti korkean turvallisuuden laitteiden tilaa muokkaamalla jaettuja muuttujia, joihin ne molemmat luottavat. He pystyivät suorittamaan sivuttaisen etuoikeuden eskaloinnin vaarantamalla Kasa-sovelluksen ja muuttaen epäsuorasti muuttujan tilaa, mikä sammutti Nest-valvontakameran.
"Jos asiat jatkuvat entisellään, turvallisuusongelmien määrä kasvaa eksponentiaalisesti, kun ihmiset lisäävät älykkäisiin koteihinsa enemmän laitteita", sanoi tutkimuksen kirjoittaja Denys Poshyvanyk, William & Maryn tietojenkäsittelytieteen apulaisprofessori. "Jos kuitenkin järjestelmällisesti yritetään suunnitella näitä alustoja uudelleen turvallisuutta silmällä pitäen, nämä hyökkäykset voidaan estää – mutta se edellyttäisi joidenkin yhteisten standardien käyttöönottoa näiltä yrityksiltä."
Useat tutkimuksessa mainitut yritykset, mukaan lukien Google ja Philips, ovat vahvistaneet Nadkarnille ja Poshyvanykille, että heidän insinöörinsä tutkivat näitä tietoturvaongelmia. Joshua Meyer, konsulttiyrityksen Independent Security Evaluatorsin tietoturva-analyytikko, joka ei ollut mukana tutkimuksessa, uskoo, että valmistajien on otettava huomioon turvallisuus tuotteen tai alustan varhaisimmista suunnitteluvaiheista lähtien. Mutta hän myöntää myös, että kolmannen osapuolen sovellukset voivat tuoda verkkoon odottamattomia tietoturvariskejä.
"Jokainen sovellus tai laite, jota he eivät hallitse, voi tuoda tietoturvariskejä verkkoon. Älykodin valtakunta on tässä suhteessa ongelmallinen, koska useiden useiden eri valmistajien laitteiden odotetaan toimivan yhteistyössä”, Meyer sanoi.
"Älykkään kodin alustojen on ennakoitava joidenkin laitteiden luontainen turvattomuus ja tarjottava vahvat suojaustoiminnot muille verkon laitteille."
Tietenkin teknologiayritykset taistelevat kaikilla rintamilla älykkäiden kodin laitteiden turvaamiseksi. Laitteiden laiton pääsy on yksi asia, mutta laitteiden orjuuttaminen osaksi bottiverkkoja on aivan toinen asia – ja hyvin dokumentoitu uhka tuleville vuosille. Se osoittaa, että kuten Mayer päätteli, on ratkaisevan tärkeää, että kodeissamme toimivista ekosysteemistä vastaavat ovat yhtä keskittyneet turvallisuuteen kuin uusiin ominaisuuksiin.