Domov Securitywatch Za 15 sekúnd sa z inteligentného termostatu hniezda stane špión na krádež údajov

Za 15 sekúnd sa z inteligentného termostatu hniezda stane špión na krádež údajov

Video: New Dragon Nest • Mirage Jade | Как получить и точить? (November 2024)

Video: New Dragon Nest • Mirage Jade | Как получить и точить? (November 2024)
Anonim

Hovorte o bezpečnostných dôsledkoch inteligentného termostatu Nest a väčšina ľudí bude pravdepodobne iba pokrčiť plecami. Predpokladajú, že pretože termostat nemôže získať prístup k vašim peniazom alebo spáliť váš dom, útočník by sa tým neobťažoval. Na Black Hat tento rok ukázali moderátori Yier Jin, Grant Hernandez a Daniel Buentello, že termostat môže urobiť strašne veľa.

Hniezdo má istotu istoty a prednášajúci urobili z neho miesto, aby ocenili Nest za prácu spoločnosti. „Je to veľmi dobre navrhnuté a mali by sme oceniť ich prácu, “ povedal Jin. Rýchlo nasledoval nápor práce jeho tímu: „Na základe našej analýzy sme zistili hardvérové ​​zadné vrátka a pomocou tohto zadného vrátenia môžeme získať diaľkové ovládanie celého zariadenia.“

Rozbiť hniezdo

V demonštrácii tím vstúpil do hniezda cez USB a zakorenil ho približne za 15 sekúnd. Ich útok bol závislý na ladiacom systéme, ktorý Nest úmyselne nechal na zariadení. Prednášajúci poukázali na to, že je to vlastne bežná prax pre výrobcov vstavaných zariadení.

Keď je fyzické tlačidlo Nestu držané 10 sekúnd, zariadenie sa reštartuje. Ale na zlomok sekundy je k dispozícii dostávať nové pokyny, ako nabootovať. Tím vytvoril vlastný nástroj, ktorý po priamom pripojení k Nestu prepracoval softvér Nesta a dal im úplné diaľkové ovládanie.

Aj keď ich útok vyžaduje fyzický prístup, rýchlosť, s akou bol vykonaný, bola pozoruhodná. Útočník by si mohol myslieť, že sa zmocní hniezda, keď jeho majiteľ na chvíľu vystúpi z miestnosti. Poukázali tiež na to, že útočníci mohli jednoducho kúpiť zariadenia Nest, infikovať ich a potom ich poslať späť do obchodu, kde by sa ďalej predávali.

A nemyslite si, že by mohli pomôcť aktualizácie od spoločnosti Nest: vedci uviedli, že vyvinuli spôsob, ako môžu infikované zariadenia skryť súbory pred aktualizáciou firmvéru. V ľahšej note prednášajúci tiež demonštrovali, že by mohli nudný vzhľad Nesta nahradiť animovaným pozadím.

Čo na tom záleží

Jednou z kľúčových funkcií Nestu - v skutočnosti jeho predajného miesta - je to, že sa naučí vašim preferenciám kúrenia a chladenia. Vďaka týmto informáciám optimalizuje teplotu vášho domu podľa vašich potrieb a šetrí vám peniaze. Prednášajúci poukazujú na to, že útočníkovi to poskytne veľa informácií o vašich zvykoch. Napríklad ohrozené hniezdo vie, kedy ste mimo domu alebo na dovolenke. Tieto informácie by sa mohli použiť na budúce digitálne útoky alebo jednoducho na vlámanie.

Hniezdo tiež pozná vaše sieťové poverenia a jeho približnú polohu. Ale najhoršie použitie poškodeného hniezda by bolo ako predohra pre iné útoky. Buentello povedal, že keby mal kontrolu nad infikovaným hniezdom v niekom dome, „prechádzal by som všetkou tvojou premávkou a hľadal by som všetko, čo by som našiel.“ Patria sem heslá, čísla kreditných kariet a akékoľvek ďalšie cenné informácie.

Rovnako strašidelné ako ich prezentácia, útočník stále potreboval fyzický prístup k termostatu Nest. Vedci však ubezpečili publikum, že tvrdo pracujú na skúmaní softvérových protokolov zariadenia, ako je Nest Weave, o ktorých sa domnievajú, že môžu umožniť vzdialené využitie.

Ale najhoršie zo všetkého, moderátori povedali, že pre obeť neexistuje spôsob, ako povedať, že boli nakazení. Koniec koncov, do svojho termostatu nemôžete načítať antivírus.

súkromia

Zatiaľ čo hackovanie hniezda bolo veľmi zábavnou demonštráciou, moderátori sa väčšinou zaujímali o súkromie. Poukázali na to, že používatelia Nestu nemôžu odstúpiť od zhromažďovania údajov. Je tiež možné, že zariadenia spoločnosti Nest sú viac, ako si myslíme. „Prečo do pekla potrebuje môj termostat 2 GB, “ opýtal sa Buentello. "Čo to robí?"

Zatiaľ čo vedci kritizovali rozhodnutie spoločnosti Nest o zahrnutí backdoorov USB, poukazujú na to, že to môžu skutočne využiť jednotlivci s ochranou súkromia, aby zabránili Nestu v zhromažďovaní užívateľských údajov. Štvrtý člen ich výskumnej skupiny ťažko pracuje na aktualizácii vlastného firmvéru, ktorý využije zraniteľné miesta zistené tímom. Ich vlastná oprava zabráni Nestu v zhromažďovaní údajov, ale stále umožní, aby hniezdo fungovalo normálne - dokonca aj pri prijímaní bezdrôtových aktualizácií.

Z dôvodu štatútu Nesta ako detského plagátu pre zariadenia IOT položil tím zaujímavú otázku publiku: pokračovali by v používaní Nest doma? Vedci tvrdia, že opatrenia, ktoré prijímame, a rozhodnutia o tom, čo považujeme za prípustné pre vstavané zariadenia, by mohli stanoviť štandard na nasledujúcich 30 rokov.

Vyberaj múdro.

Za 15 sekúnd sa z inteligentného termostatu hniezda stane špión na krádež údajov