Twoje systemy Philips Hue i Nest mogą być otwarte na atak

Kiedy mówimy o bezpieczeństwie – a mamy na myśli cyberbezpieczeństwo naszych domów – większość z nas wyobraża sobie hakerów na poziomie filmu Bonda w ciemnych pokojach, fachowo wykorzystujących nasze kamery, alarmy i zamki do drzwi.

Ale gdy inteligentne urządzenia zostają uwikłane w cyfrowe ekosystemy – to tylko kilka z nich – Nest, Asystent Google i Alexa – nawet jedno słabe ogniwo może pozostawić wszystkie urządzenia otwarte na atak. A nowe badania pokazują, że to nasze inteligentne żarówki i podłączone do sieci ekspresy do kawy mogą opuszczać nasze domy w niebezpieczeństwie.

Wielki werdykt: recenzja Philips Hue

Zespół informatyków z College of William & Mary przetestował bezpieczeństwo kilku produktów inteligentnego domu dostępnych obecnie na rynku i znalazł znaczące luki w zabezpieczeniach, które mogą oznaczać, że firmy technologiczne będą musiały przemyśleć sposób interakcji swoich urządzeń.

Zespół przyjrzał się atakowi o nazwie „lateralna eskalacja uprawnień", który naraża urządzenie lub aplikację o niskich stawkach w celu uzyskania dostępu do urządzenia o wysokich stawkach, takiego jak kamera bezpieczeństwa. Wyniki ujawniają wady, niekoniecznie w samych urządzeniach, ale w architekturę platform pełniących rolę centralnego huba inteligentnego domu.

I chociaż zbyt często te luki występują w urządzeniach bez nazwy należących do garstki osób, zespół badawczy znalazł podczas oceny problemy wymagające ulepszenia zarówno w produktach Philips Hue, jak i Nest.

„To problem z oprogramowaniem, który rozlewa się na środowisko fizyczne i nie jest to coś, co można natychmiast naprawić” — powiedział autor badania Adwait Nadkarni, adiunkt informatyki w William & Mary. „Jeśli nie zabezpieczysz tych urządzeń o niskim poziomie bezpieczeństwa, nawet pośrednia komunikacja między tymi dwoma urządzeniami może zagrozić Twojemu inteligentnemu domowi”.

Nadkarni i jego współpracownicy wykorzystali symulowaną konfigurację inteligentnego domu, w której połączyli wiele urządzeń z platformą inteligentnego domu i zobaczyli, jak daleko mogą posunąć się ataki. Przewiduje się, że do 2020 roku w użyciu znajdzie się ponad 20 miliardów produktów inteligentnego domu, a ich praca ma daleko idące konsekwencje dla fizycznego bezpieczeństwa użytkowników. Badanie zostało przyjęte na konferencję Association for Computing Machinery (ACM) na temat bezpieczeństwa danych i aplikacji oraz prywatności i zostanie zaprezentowane w marcu 2019 r.

Infiltrowanie twoich procedur

Automatyka domowa jest napędzana przez implementację procedur, które są sekwencjami działań aplikacji i urządzeń, które są wykonywane po jednym lub kilku wyzwalaczach. Na przykład, gdy włączysz system alarmowy przed wyjściem z domu, możesz zaprogramować inteligentny termostat, aby automatycznie się wyłączał, aby oszczędzać energię elektryczną. Inteligentne platformy domowe, takie jak Google Works with Nest, Samsung SmartThings i Philips Hue, śledzą wszystkie podłączone urządzenia i ich stan za pomocą zmiennych w scentralizowanym magazynie danych.

„Czujnik obecności wskaże, czy użytkownik jest w domu i odpowiednio dostosuje tę zmienną w scentralizowanym magazynie danych” — powiedział Nadkarni. „Wtedy reszta urządzeń zareaguje tak, jak chcesz, gdy będziesz w domu – włączą się światła, włączy się termostat itp. – ale w niektórych przypadkach te zmienne można wykorzystać”.

Na przykład hakerzy mogą naruszyć bezpieczeństwo urządzenia o niskim poziomie bezpieczeństwa, takiego jak światła, które mają dostęp do zmiennej obecności. Jeśli zmienią swój stan, aby fałszywie powiedzieć platformie, że jesteś w domu, podczas gdy naprawdę jesteś daleko na wakacjach, napastnicy mogą zmienić działanie urządzeń o wysokim poziomie bezpieczeństwa, takich jak kamery i zamki do drzwi.

Naukowcy odkryli, że procedury obsługiwane przez Nest umożliwiają urządzeniom i aplikacjom o niskim poziomie bezpieczeństwa pośrednią modyfikację stanu urządzeń o wysokim poziomie bezpieczeństwa poprzez modyfikację wspólnych zmiennych, na których oba polegają. Byli w stanie przeprowadzić eskalację uprawnień poprzecznych, włamując się do aplikacji Kasa, pośrednio zmieniając stan zmiennej, co wyłączyło kamerę bezpieczeństwa Nest.

„Jeśli wszystko będzie tak wyglądać, liczba problemów z bezpieczeństwem wzrośnie wykładniczo, ponieważ ludzie będą dodawać więcej urządzeń do swoich inteligentnych domów” – powiedział autor badania Denys Poshyvanyk, profesor informatyki w William & Mary. „Jeśli jednak zostaną podjęte systematyczne wysiłki w celu przeprojektowania tych platform z myślą o bezpieczeństwie, atakom tym można zapobiec – ale wymagałoby to przyjęcia przez te firmy pewnych wspólnych standardów”.

Kilka firm wymienionych w badaniu, w tym Google i Philips, potwierdziło Nadkarni i Poshyvanyk, że ich inżynierowie badają te kwestie bezpieczeństwa. Joshua Meyer, współpracownik analityka bezpieczeństwa w firmie konsultingowej Independent Security Evaluators, który nie brał udziału w badaniu, uważa, że ​​producenci muszą brać pod uwagę bezpieczeństwo od najwcześniejszych etapów projektowania produktu lub platformy. Przyznaje jednak również, że aplikacje innych firm mogą wprowadzać do sieci nieoczekiwane zagrożenia bezpieczeństwa.

„Każda aplikacja lub urządzenie, nad którym nie mają kontroli, może stanowić zagrożenie dla bezpieczeństwa sieci. Sfera inteligentnego domu jest pod tym względem problematyczna, ponieważ oczekuje się, że wiele urządzeń różnych producentów będzie działać wspólnie” – powiedział Meyer.

„Platformy inteligentnego domu muszą przewidywać nieodłączną niepewność niektórych urządzeń i zapewniać silną kontrolę bezpieczeństwa dla innych urządzeń w sieci”.

Oczywiście firmy technologiczne walczą na wszystkich frontach o zabezpieczenie inteligentnych urządzeń domowych. Podczas gdy nielegalny dostęp do urządzeń to jedno, zniewolenie urządzeń w ramach botnetów to zupełnie inna kwestia – dobrze udokumentowane zagrożenie na nadchodzące lata. Pokazuje to, że jak podsumował Mayer, ważne jest, aby osoby odpowiedzialne za ekosystemy działające w naszych domach były tak samo skupione na bezpieczeństwie, jak na nowych funkcjach.