Ваши системы Philips Hue и Nest могут быть уязвимы для атак

Последнее обновление Фев 24, 2023

Когда мы говорим о безопасности — и мы имеем в виду кибербезопасность наших домов — большинство из нас представляет себе хакеров уровня Бонда в темных комнатах, умело использующих наши камеры, сигнализацию и дверные замки.

Но по мере того, как интеллектуальные устройства становятся частью цифровых экосистем — Nest, Google Assistant и Alexa, и это лишь некоторые из них, — даже одно слабое звено может сделать все устройства открытыми для атаки. И новое исследование показывает, что наши умные лампочки и подключенные кофеварки могут подвергать опасности наши дома.

Большой вердикт: обзор Philips Hue

Группа ученых-компьютерщиков из Колледжа Уильяма и Мэри проверила безопасность нескольких продуктов для умного дома, представленных в настоящее время на рынке, и обнаружила серьезные уязвимости, которые могут означать, что технологическим компаниям необходимо переосмыслить способ взаимодействия своих устройств.

Команда рассмотрела атаку под названием «латеральное повышение привилегий», которая компрометирует устройство или приложение с низкими ставками, чтобы получить доступ к устройству с высокими ставками, например к камере безопасности. Результаты показывают недостатки, не обязательно в самих устройствах, но в архитектура платформ, которые служат центральным узлом умного дома.

И хотя слишком часто эти уязвимости обнаруживаются на безымянных устройствах, принадлежащих нескольким людям, исследовательская группа обнаружила проблемы, требующие улучшения как в продуктах Philips Hue, так и в Nest во время их оценки.

«Это программная проблема, которая распространяется на физическую среду, и ее нельзя исправить немедленно», — сказал автор исследования Адвайт Надкарни, доцент кафедры компьютерных наук в William & Mary. «Если вы не защитите эти устройства с низким уровнем безопасности, даже косвенная связь между этими двумя устройствами может поставить под угрозу ваш умный дом».

Надкарни и его коллеги использовали смоделированную установку умного дома, в которой они подключили несколько устройств к платформе умного дома, и увидели, как далеко могут зайти атаки. По прогнозам, к 2020 году будет использоваться более 20 миллиардов продуктов для умного дома, и их работа имеет далеко идущие последствия для физической безопасности пользователей. Исследование было принято на конференцию Ассоциации вычислительной техники (ACM) по безопасности и конфиденциальности данных и приложений и будет представлено в марте 2019 года.

Проникновение в ваши рутины

Домашняя автоматизация управляется реализацией подпрограмм, которые представляют собой последовательности действий приложений и устройств, которые выполняются по одному или нескольким триггерам. Например, когда вы включаете сигнализацию перед выходом из дома, вы можете запрограммировать свой интеллектуальный термостат на автоматическое отключение для экономии электроэнергии. Платформы умного дома, такие как Google Works with Nest, Samsung SmartThings и Philips Hue, отслеживают все подключенные устройства и их состояния с помощью переменных в централизованном хранилище данных.

«Датчик присутствия укажет, находится ли пользователь дома, и соответствующим образом отрегулирует эту переменную в централизованном хранилище данных», — сказал Надкарни. «Тогда остальные устройства будут реагировать так, как вы хотите, когда вы дома — включается свет, включается термостат и т. д. — но в некоторых случаях эти переменные можно использовать».

Например, хакеры могут скомпрометировать устройство с низким уровнем безопасности, такое как ваши фонари, которые имеют доступ к переменной присутствия. Если они изменят его состояние, чтобы ложно сообщить платформе, что вы дома, в то время как на самом деле вы находитесь за много миль в отпуске, злоумышленники могут изменить действия устройств с высоким уровнем безопасности, таких как камеры и дверные замки.

Исследователи обнаружили, что подпрограммы, поддерживаемые Nest, позволяют устройствам и приложениям с низким уровнем безопасности косвенно изменять состояние устройств с высоким уровнем безопасности, изменяя общие переменные, на которые они оба полагаются. Они смогли выполнить боковое повышение привилегий, скомпрометировав приложение Kasa, косвенно изменив состояние переменной, которая отключила камеру безопасности Nest.

«Если все будет продолжаться так, как есть, количество проблем с безопасностью будет расти в геометрической прогрессии по мере того, как люди будут добавлять больше устройств в свои умные дома», — сказал автор исследования Денис Пошиваник, доцент кафедры компьютерных наук в William & Mary. «Однако, если предпринимать систематические усилия по перепроектированию этих платформ с учетом безопасности, эти атаки можно предотвратить, но для этого потребуется принять некоторые общие стандарты со стороны этих компаний».

Несколько компаний, упомянутых в исследовании, в том числе Google и Philips, подтвердили Надкарному и Пошиванику, что их инженеры изучают эти проблемы безопасности. Джошуа Мейер, младший аналитик по безопасности в консалтинговой фирме Independent Security Evaluators, не участвовавший в исследовании, считает, что производители должны учитывать безопасность на самых ранних этапах разработки продукта или платформы. Но он также признает, что сторонние приложения могут создавать неожиданные угрозы безопасности сети.

«Каждое приложение или устройство, которые они не контролируют, может представлять угрозу безопасности сети. Сфера «умного дома» в этом отношении проблематична, поскольку ожидается, что несколько устройств от разных производителей будут работать совместно», — сказал Мейер.

«Платформы умного дома должны предвидеть присущую некоторым устройствам ненадежность и обеспечивать строгий контроль безопасности для других устройств в сети».

Конечно, технологические компании борются на всех фронтах за безопасность устройств умного дома. В то время как незаконный доступ к устройствам — это одно, порабощение устройств как части ботнетов — совсем другое — и хорошо задокументированная угроза на ближайшие годы. Это показывает, что, как заключил Майер, очень важно, чтобы те, кто отвечает за экосистемы, работающие в наших домах, были так же сосредоточены на безопасности, как и на новых функциях.