ИБ-исследователь Avast Мартин Хрон смог взломать умную кофеварку с подключением к интернету, заставив ее требовать выкуп с владельца, сообщает портал Ars Technica со ссылкой на блог эксперта.
Речь идет об устройстве, выпускаемом под брендом Smarter. Хрону удалось получить доступ к прошивке кофемашины и внести в нее ряд изменений.
В результате гаджет оказался заблокирован вредоносным ПО с функцией вымогателя.
Так, на экране гаджета при приготовлении кофе появился эмодзи с рогами, символизирующий черта, а также ссылка, по которой владельцу машины предлагалось пройти для оплаты выкупа и возвращения устройства под свой контроль.
If you have an IoT compatible coffee maker, you may not want to let a hacker get his hands on it. An expert like Martin Hron, who is a researcher at security company Avast, may run all kinds of tricks on it, as he did with a Smarter machine. pic.twitter.com/eixjdmT73U
— farhad kaiser (@farhadkaiser2) September 28, 2020
Кроме того, Хрон смог удаленно заставить машину плеваться кипятком и издавать разные звуки. Прекратить вакханалию можно было только радикальным способом — выдернув шнур устройства из розетки. Также кофемашина по требованию исследователя начала майнить криптовалюту Monero.
По словам эксперта, при первом подключении кофемашины Smarter он обнаружил, что она ведет себя как точка доступа Wi-Fi, использующая незащищенное соединение с приложением на смартфоне. Приложение, в свою очередь, позволяло пользователю настраивать устройство и подключать его к беспроводному интернету в доме. Так как какое-либо шифрование полностью отсутствовало, исследователь без проблем узнал, как именно телефон сообщается с кофемашиной, и получил представление о том, как настроить другое приложение подобным образом.
«Это возможно.
Я сделал это, чтобы доказать, что это было на самом деле и может произойти с любыми другими IoT-устройствами.
Это хороший пример проблемы «из коробки». Ничего не нужно настраивать. Обычно производители даже не думают об этом», — прокомментировал свой эксперимент исследователь.
Устройствами IoT, или интернета вещей, называют гаджеты, имеющие доступ к интернету, которые могут быть объединены в единую компьютерную сеть. К интернету вещей относятся как потребительские устройства вроде смарт-часов или умных колонок, так и объекты критической инфраструктуры.
По-настоящему опасными для большого количества людей могут стать атаки, направленные на ВПК и ядерную промышленность, сообщает портал Security Lab. Так, в 2018 вирус-червь Stuxnet поразил ядерные объекты Ирана, тайно перепрограммировав логистический контроллер и выведя из строя оборудование. В данном случае атакующие имели цель прервать функционирование объектов, однако мотивы могут быть и противоположными — несанкционированный запуск оборудования или использование ядерного оружия.
Стремление к унификации используемых протоколов и кроссплатформенности применяемых решений зачастую вынуждает производителей IoT-устройств жертвовать безопасностью обрабатываемых данных, признает Дмитрий Курамин, эксперт Лаборатории практического анализа защищенности компании «Инфосистемы Джет».
«Например, являющаяся уже трендом на сегодняшний день поддержка голосовых помощников, таких как «Алиса», Amazon Alexa и Siri, вынуждает производителей оставлять в своих устройствах функционал, который в некоторых случаях может быть опасен для самого пользователя и его персональных данных. Вряд ли кто-то пострадает, если какой-нибудь хакер получит доступ к его умной Wi-Fi-лампе или показаниям приборов учета в доме. Другое дело, если под ударом оказываются более сложные и «осведомленные» о жизни пользователя устройства, например, контроллеры сетевых нагрузок, устройства управления, домашние камеры и радионяни. Достаточно вспомнить шумиху, которая поднялась, когда стало известно о взломе более 15 тысяч камер производителя Ring в США.
К сожалению, это далеко не единственный случай, а внедряемые повсеместно кроссплатформенная синхронизация и многосторонняя поддержка онлайн-сервисов и облачных технологий ставят под удар и другие аккаунты пользователей.
Отсюда рекомендация: если умное устройство просит вас войти в какой-нибудь другой аккаунт или на другой сервис, не стоит лениться — создайте отдельную учетную запись и используйте ее только совместно с этим устройством. Так вы сможете минимизировать вторжение в вашу личную жизнь в случае компрометации этого устройства», — сообщил собеседник «Газеты.Ru».
Высокая конкуренция и сжатые сроки разработки IoT-устройств для быстрого вывода продукта на рынок приводят к низкому уровню защищенности таких гаджетов, заявляет директор практики информационной безопасности компании AT Consulting Тимурбулат Султангалиев.
«Проблем безопасности, требующих внимания, достаточно много: использование уязвимых протоколов для обмена информацией и управления IoT-устройствами, стандартные пароли для большого количества устройств и отсутствие требований по смене таких данных при первичной инициализации, сложность при установке актуальных обновлений, которые устраняют критические уязвимости в IoT, и т. д.
Для улучшения системы безопасности надо начинать с принятия стандартов для безопасности IoT.
Для устройств, которые уже применяются, необходимо выполнять ряд рекомендаций: регулярно проверять наличие официальных обновлений, ограничивать права доступа IoT-устройств, в том числе запрещать им доступ к ненужным для их работы данным, не использовать стандартный пароль — для разных устройств пароли должны отличаться и периодически меняться, а также по возможности использовать виртуальную частную сеть (VPN)», — рекомендует эксперт.