Analytici bezpečnostnej spoločnosti ESET odhalili veľké množstvo vážnych bezpečnostných zraniteľností v troch rôznych ovládacích centrách pre smart domácnosti. Ide o Fibaro Home Center Lite, eLAN-RF-003 a HomeMatic Central Control Unit (CCU2), ktoré slúžia na vzdialené ovládanie teploty, osvetlenia, bezpečnostných kamier a spínania elektrospotrebičov v byte alebo vo firme. Všetky tri produkty boli alebo stále sú k dispozícii aj na Slovensku.

Niektoré z chýb mohli útočníci zneužiť na man-in-the-middle útoky, odpočúvanie obetí, vytvorenie backdooru alebo k získaniu administrátorských oprávnení do zariadenia. V najhoršom možnom prípade mohli zraniteľnosti viesť k získaniu kontroly nad ovládacím centrom a k zariadeniam, ktoré k nemu boli pripojené.

„Zistili sme, že zraniteľnosti takzvaných IoT zariadení predstavujú prevládajúci problém. Náš výskum dokazuje, že chybné nastavenia, absentujúce šifrovanie alebo autentifikácia nie sú problémom len lacných alebo nekvalitných zariadení ale objavujú sa aj vo veľmi kvalitnom hardvéri,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť z ESET.

Zobraziť celú galériu (1)

ESET

Analytici ohlásili všetky zraniteľnosti výrobcom zariadení. Väčšinu odhalených chýb výrobcovia opravili, niektoré však v prípade starších generácií testovaných zariadení zostávajú funkčné. Aj z tohto dôvodu ESET odporúča majiteľom zariadení stiahnuť si najnovšie aktualizácie na tieto ovládacie centrá. Opravy bezpečnostných chýb sa totiž na zariadeniach prejavia až po aktualizácii ich firmvéru.

Zobraziť celú galériu (1)

ESET

Fibaro Home Center Lite obsahovalo mix závažných zraniteľností. Jedna kombinácia chýb umožňovala dokonca útočníkom vytvoriť SSH backdoor a získať tak plnú kontrolu nad zariadením. Smart home krabička eLAN-RF-003 nevyžadovala dostatočnú autentifikáciu – na manipuláciu s pripojenými domácimi alebo firemnými zariadeniami nevyžadovala prihlásenie používateľa.

Ovládacie centrum Homematic CCU2 obsahovalo chyby umožňujúce RCE útok, teda vzdialené spustenie kódu, vrátane malvéru, na diaľku. Táto chyba umožňovala útočníkom získať plný prístup k ovládaciemu centru i ku všetkým zariadeniam, ktoré k nemu boli pripojené.

Kompletnú analýzu zraniteľností troch smart home riadiacich centier nájdeš na stránke WeLiveSecurity.com.

Čítajte viac z kategórie: Cyber