«Лаборатория Касперского» помогла устранить критические уязвимости в системе умного дома

2019-07-02 13:23
«Лаборатория Касперского» помогла устранить критические уязвимости в системе умного дома

Наиболее серьёзными оказались проблемы в облачной инфраструктуре устройства, а также потенциальная возможность удалённого исполнения вредоносного кода. С помощью этих программных уязвимостей злоумышленник может получить права суперпользователя и начать манипулировать системой умного дома в своих целях. Обо всех обнаруженных уязвимостях «Лаборатория Касперского» сообщила производителю устройств – компании Fibaro, которая оперативно устранила их и обновила протоколы безопасности.

Исследование проводилось в рамках эксперимента: один из сотрудников «Лаборатории Касперского» попросил своих коллег-аналитиков протестировать смарт-систему, развёрнутую в его доме. Для изучения был выбран контроллер, поскольку именно он управляет всеми операциями в умном доме, и компрометация такого устройства позволила бы злоумышленникам попасть внутрь домашней экосистемы. А это чревато любыми последствиями: от шпионажа за жильцами до выведения из строя различных устройств.

Уже на начальной стадии исследования эксперты обнаружили несколько потенциальных векторов атаки: через протокол беспроводной коммуникации Z-Wave, широко использующийся в решениях домашней автоматизации; через веб-интерфейс в панели администратора; через облачную инфраструктуру. Последний путь оказался наиболее эффективным с точки зрения организации атаки. Изучив методы обработки запросов, поступающих от контроллера в облачную инфраструктуру, аналитики «Лаборатории Касперского» выявили уязвимость в процессе авторизации и потенциальную возможность для удалённого исполнения кода.

В совокупности эти два серьёзных недочёта открывают злоумышленникам доступ ко всем файлам бекапа, которые были загружены в облако из всех устройств Fibaro Home Center Lite. Вместо них атакующие могут загрузить в облако под видом бекапа вредоносные файлы, а затем установить их на определённом контроллере – даже несмотря на то что у них нет прав в самой системе умного дома.

Для завершения эксперимента аналитики «Лаборатории Касперского» провели тестовую атаку на котроллер. Они подготовили специальный файл бекапа с отдельно разработанным скриптом, защищённым паролем. Затем они отправили через облако сообщение по электронной почте и SMS владельцу устройства с уведомлением о необходимости обновить прошивку контроллера. «Жертва» ничего не заподозрила и скачала под видом обновления тот самый файл бекапа, который по сценарию оказался вредоносным. Таким образом исследователи получили права суперпользователя для контроллера домашней смарт-системы, что позволяло им выполнять любые команды. Аналитики продемонстрировали возможные последствия успешного внедрения злоумышленников в домашнюю экосистему, изменив мелодию в будильнике – на следующее утро «жертва» проснулась под громкую drum & bass музыку.

iluki.ru

популярные новости

Подробности жуткого смертельного ДТП под Великими Луками (+ ФОТО)

Новые подробности смертельного ДТП на железнодорожном переезде в Себежском районе - МЧС Псковской области

Жители Великих Лук и Новосокольников погибли в страшном ДТП на железнодорожном переезде под Себежем (+ ФОТО)

ФОТО с места столкновения тепловоза и грузовика под Себежем. Погибли 2 человека

Смертельное ДТП на выезде из Великих Лук (ФОТО)

Великолукские рыбаки утверждают, что поймали в Ловати пиранью (ФОТО, ВИДЕО)

4 столкнувшихся автомобиля, 4 пострадавших: ДТП на трассе Петербург-Невель в Псковской области (ФОТО)

Подробности и ФОТО: в Великолукском районе в ДТП пострадали 7 человек

В квартире великолучанина, найденного мертвым и с огнестрельным ранением, нашли огромный склад взрывоопасных веществ и оружия (+ ФОТО)

ФОТО с места происшествия: дерево в салоне Mitsubishi петербуржца после "пьяного" ДТП на трассе Р-23 в Невельском районе

Подпишись на канал