A Kaspersky legutóbbi jelentése szerint könnyedén találni olyan otthoni hubokat, melyek rendkívül sérülékenyek, holott a feladatuk az összes, hálózatra csatlakoztatott és telepített modul kezelése, tehát rajtuk keresztül rosszindulatú emberek a termékek szervereihez is hozzáférhetnek. Ez azt jelenti, hogy bármely felhasználó archivált adatait is megkaparinthatják, így gyakorlatilag simán átvehetik a hatalmat a fiók és az otthoni hálózat felett. Talán nem kell részletezni, hogy egy intelligens zár esetében mindez mit jelent.
Mivel óriási mértékben nő a népszerűsége a csatlakoztatott készülékeknek, értelemszerűen nő az igény a lakossági okos hubokra is, melyek könnyebbé teszik az otthoni készülékek kezelését, és lehetővé teszik, hogy a felhasználó beállítsa és irányítsa azokat egy webes felületen vagy mobil alkalmazáson keresztül. Néhányuk még biztonsági rendszerként is szolgál. Ugyanakkor "egyesítő" szerepéből eredően a kiberbűnözők számára is kívánatos célpont, amely feltörésével akár távoli támadásokat is indíthatnak.
Tavaly a Kaspersky Lab vizsgálata során kiderült egy okos otthoni készülékről, hogy kívánatos támadási felületet ad a kiberbűnözőknek a nagyon gyenge jelszógeneráló algoritmusának és nyitott portjainak köszönhetően. Egy új vizsgálat során világossá vált az is, hogy a biztonsági tervezés hiánya és a sérülékenységek miatt az okos készülékeken keresztül a bűnözőknek hozzáférésük lehet bárki otthonához. A hub ugyanis elküldi a felhasználó adatait, amikor kommunikál a szerverrel, így például a bejelentkező adatokat (felhasználó azonosító és a hozzá tartozó
jelszó) épp azért, hogy be tudjon lépni a hub webes felületén. Továbbá olyan személyes információkat is listáznak itt, mint a felhasználó telefonszáma, amire egyébként azért van szükség, hogy vészhelyzetben könnyedén elérhető legyen.
A távoli támadók letölthetik ezeket az adatokat úgy, hogy egy legitim kérést küldenek a szerver felé a készülék sorozatszámával. Az elemzés szerint a készülékek
sorozatszámát könnyedén kideríthetik a bűnözők, mivel nagyon egyszerű módszerrel generálják azokat. A szakértők szerint a sorszámok egyszerű logikán alapuló módszerrel felfedhetőek, amelyet a szerver erősíthet meg: ha egy készülék regisztrálva van egy felhőalapú rendszerben, akkor a bűnözők megerősítő információkat fognak kapni. Ennek eredményeként be tudnak lépni a felhasználó fiókjába és a hubra csatlakoztatott összes szenzor és vezérlő beállításait kezelhetik.
"Annak ellenére, hogy az IoT-k a kiberbiztonsági kutatók fókuszában vannak évek óta, még mindig nem biztosított a biztonságuk. Véletlenszerűen választottuk ki ezt a hubot, és a tény, hogy sérülékeny, sajnos nem számít kivételnek az IoT-k világában. A jelen technológiai állás szerint úgy tűnik, szó szerint minden internetre csatlakoztatott készüléknek, még a nagyon egyszerűeknek is, biztonsági problémáik vannak. Például nemrég elemeztünk egy okos villanykörtét. Milyen gondot okozhat egy olyan égő, amely csupán a világítás színét és
néhány egyéb világítással kapcsolatos beállítást képes megváltoztatni okostelefonon keresztül? Nos, úgy láttuk, hogy a villanykörte memóriája tárol minden olyan információt, amihez már valaha csatlakozott, azaz vezeték nélküli hálózatokhoz tartozó neveket és jelszavakat.
Mindezt titkosítás nélkül. Más szóval, az IoT-k egyszerű biztonsági világában még egy egyszerű villanykörte is veszélybe sodorhat bárkit." - magyarázta Vladimir Dashchenko, a Kaspersky Lab ICS CERT részlegénél dolgozik, a sérülékenységet vizsgáló kutatócsoport vezetőjeként.
Mint oly sok esetben, ismét kiderült, mennyire fontos, hogy a gyártók megfelelő védelmet biztosítsanak, ám nem nélkülözhető a felhasználók körültekintése sem. Annak érdekében, hogy védettek maradjunk, célszerű betartani a komplex jelszavak használatát és azok rendszeres megváltoztatását, illetve folyamatosan tájékozódjunk a felderített biztonsági résekről és a rájuk kiadott javítások elérhetőségéről.
