Ваші системи Philips Hue і Nest можуть бути відкриті для атак

Останнє оновлення Лют 24, 2023

Коли ми говоримо про безпеку – і ми маємо на увазі кібербезпеку наших домівок – більшість із нас уявляють хакерів рівня фільму Бонда в темних кімнатах, які вміло використовують наші камери, сигналізацію та дверні замки.

Але оскільки інтелектуальні пристрої стають заплутаними в цифрових екосистемах (Nest, Google Assistant і Alexa, це лише деякі з них), навіть одна слабка ланка може зробити всі пристрої відкритими для атаки. Нове дослідження показує, що наші розумні лампочки та підключені кавоварки можуть залишати наші домівки під загрозою.

Великий вердикт: огляд Philips Hue

Команда комп'ютерних науковців з коледжу Вільяма та Мері перевірила безпеку кількох продуктів для розумного дому, які зараз є на ринку, і виявила значні вразливості, які можуть означати, що технологічним компаніям потрібно переглянути спосіб взаємодії своїх пристроїв.

Команда розглянула атаку під назвою «бічна ескалація привілеїв», яка компрометує пристрій або програму з низькими ставками, щоб отримати доступ до пристрою з високими ставками, наприклад камери безпеки. Результати виявляють недоліки, не обов’язково в самих пристроях, а в архітектура платформ, які служать центральним центром розумного будинку.

І хоча надто часто ці вразливості виявляються на безіменних пристроях, що належать кільком людям, дослідницька група виявила проблеми, які потребують покращення як у продуктах Philips Hue, так і в продуктах Nest під час їх оцінювання.

«Це проблема програмного забезпечення, яка виливається у фізичне середовище, і це не те, що ви можете негайно виправити», — сказав автор дослідження Адвейт Надкарні, доцент кафедри інформатики William & Mary. «Якщо ви не захистите ці пристрої з низьким рівнем безпеки, навіть непрямий зв’язок між цими двома пристроями може поставити під загрозу ваш розумний дім».

Надкарні та його колеги використали симуляцію розумного дому, де вони підключили кілька пристроїв до платформи розумного дому, і побачили, як далеко можуть зайти атаки. Оскільки до 2020 року планується використовувати понад 20 мільярдів продуктів для розумного дому, їхня робота має далекосяжні наслідки для фізичної безпеки користувачів. Дослідження було прийнято на конференцію Асоціації обчислювальної техніки (ACM) з безпеки та конфіденційності даних і програм і буде представлено в березні 2019 року.

Проникаючи у ваші рутини

Домашня автоматизація керується впровадженням процедур, які є послідовністю дій програми та пристрою, які виконуються після одного або кількох тригерів. Наприклад, коли ви вмикаєте систему сигналізації перед виходом з дому, ви можете запрограмувати свій розумний термостат на автоматичне вимикання для економії електроенергії. Платформи розумного дому, такі як Google Works with Nest, Samsung SmartThings і Philips Hue, відстежують усі підключені пристрої та їхні стани за допомогою змінних у централізованому сховищі даних.

«Датчик присутності вкаже, чи перебуває користувач вдома, і відповідно налаштує цю змінну в централізованому сховищі даних», — сказав Надкарні. «Тоді решта пристроїв реагуватимуть так, як вам захочеться, коли ви перебуваєте вдома — увімкнеться світло, увімкнеться термостат тощо — але в деяких випадках ці змінні можна використати».

Наприклад, хакери можуть скомпрометувати пристрій із низьким рівнем безпеки, наприклад ваші ліхтарі, які мають доступ до змінної присутності. Якщо вони змінять його стан, щоб фальшиво повідомити платформі, що ви вдома, коли ви справді перебуваєте за багато миль у відпустці, зловмисники можуть змінити дії пристроїв високого рівня безпеки, таких як камери та дверні замки.

Дослідники виявили, що процедури, які підтримує Nest, дозволяють пристроям і програмам із низьким рівнем безпеки опосередковано змінювати стан пристроїв із високим рівнем безпеки, змінюючи спільні змінні, на які вони покладаються. Їм вдалося здійснити бічне підвищення привілеїв, скомпрометувавши додаток Kasa, опосередковано змінивши стан змінної, яка вимкнула камеру безпеки Nest.

«Якщо все продовжуватиметься так, як зараз, кількість проблем із безпекою зросте експоненціально, оскільки люди додадуть більше пристроїв у свої розумні домівки», — сказав автор дослідження Денис Пошиваник, доцент кафедри інформатики William & Mary. «Однак, якщо докладати певних систематичних зусиль, щоб перепроектувати ці платформи з урахуванням безпеки, ці атаки можна запобігти, але це вимагатиме від цих компаній прийняття деяких загальних стандартів».

Кілька компаній, згаданих у дослідженні, зокрема Google і Philips, підтвердили Надкарні та Пошиванику, що їхні інженери вивчають ці проблеми безпеки. Джошуа Мейер, асоційований аналітик з питань безпеки консалтингової компанії Independent Security Evaluators, який не брав участі в дослідженні, вважає, що виробники повинні враховувати безпеку з самих ранніх стадій розробки продукту або платформи. Але він також визнає, що програми сторонніх розробників можуть створювати несподівані ризики для безпеки мережі.

«Кожна програма або пристрій, який вони не контролюють, може створювати загрози безпеці мережі. «Сфера розумного дому є проблематичною в цьому відношенні, оскільки очікується, що кілька пристроїв від різних виробників працюватимуть спільно», — сказав Мейєр.

«Платформи «розумного дому» повинні передбачати внутрішню незахищеність деяких пристроїв і забезпечувати надійний контроль безпеки для інших пристроїв у мережі».

Звичайно, технологічні компанії борються на всіх фронтах, щоб захистити пристрої розумного дому. У той час як незаконний доступ до пристроїв – це одне, а поневолення пристроїв як частини ботнетів – зовсім інше – і добре задокументована загроза на найближчі роки. Це показує, що, як зробив висновок Майєр, дуже важливо, щоб ті, хто відповідає за екосистеми, які працюють у наших будинках, були так само зосереджені на безпеці, як і на нових функціях.