Kaspersky Lab исследует уязвимости умных устройств для дома

Опубликовано: 7 февраля 2016 г., воскресенье

Домашние пользователи сегодня подключают к Сети не только компьютеры, планшеты и смартфоны, но и разные другие приборы, например, телевизоры, проигрыватели DVD/Blu–ray дисков, игровые приставки.

Для эксперимента были выбраны USB–медиаплеер для потоковой передачи видео Google Chromecast и три устройства, управляемых с помощью смартфона: видеоняня, кофемашина и домашняя система безопасности. Их детальное изучение показало, что производители прикладывают значительные усилия к обеспечению кибербезопасности, но тем не менее в любом подключенном устройстве, управляемом со смартфона, почти наверняка есть хотя бы одна проблема безопасности, которая может стать «опорным пунктом» для атакующей стороны.

Рассмотрим «умную кофемашину», которая может удаленно приготовить чашку кофе точно в то время, когда вам нужно. Вам надо просто выставить время: когда кофе будет готов, приложение пришлет вам push–уведомление. Также можно отслеживать через приложение статус кофемашины – например, происходит ли в данный момент варка кофе, готова ли машина сварить кофе, или, возможно, пора залить воду в контейнер. Другими словами, это очень милое устройство, которое при этом, к сожалению, дает злоумышленнику возможность украсть пароль к вашей локальной Wi–Fi сети.

До начала использования устройство нужно настроить. Это происходит таким образом: при включении устройства в сеть, оно создает нешифрованную точку доступа и прослушивает UPNP–трафик. Смартфон, на котором запущено приложение для связи с кофемашиной, подсоединяется к этой точке доступа и посылает широковещательный UDP–запрос о том, есть ли в сети UPNP–устройства.

Поскольку наша кофемашина является таковым устройством, она отвечает на запрос. За этим следует краткий сеанс связи, во время которого, среди прочего, со смартфона на устройство посылается идентификатор сети (SSID) и пароль к домашней беспроводной сети.Вот здесь–то мы и обнаружили проблему. Пароль пересылается в зашифрованном виде, но при этом компоненты ключа шифрования пересылают через открытый незащищенный канал. Среди таких компонентов – Ethernet–адрес кофемашины и некоторые другие уникальные учетные данные. С использованием этих данных на смартфоне генерируется ключ шифрования. Пароль к домашней сети шифруется с этим ключом с использованием 128–битного алгоритма AES и пересылается на кофемашину в формате Base64. На кофемашине также генерируется ключ из этих компонентов, с которым расшифровывается пароль.

Затем кофемашина подключается к домашней беспроводной сети и перестает быть точкой доступа до тех пор, пока не будет нажата кнопка RESET). С этого момента доступ на кофемашину возможен только через домашнюю беспроводную сеть. Впрочем, это неважно, поскольку пароль уже скомпрометирован.

Источник: securelist.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

Рынок умных устройств для дома стремительно расширяется

Digitimes Research: Находящийся в бурном росте глобальный рынок умных устройств для дома вступает в период острой конкуренции. подробнее »

Lenovo нарушила обещание обновлять Moto G4

Выпущенный полтора года назад смартфон Moto G4 обещали обновить до Android 8, но, похоже, на это уже можно не рассчитывать. дальше »

Выпущена новая версия свободной системы 3D-моделирования Blender 2.79

Опубликован релиз Blender 2.79 - свободного, профессионального пакета для создания трёхмерной компьютерной графики. дальше »

Lexus научили распознавать дорожные знаки

В рамках Международного автомобильного салона во Франкфурте состоялась европейская премьера обновленного внедорожника Lexus NX. дальше »

В студенческих общежитиях Пекина появились сканеры лиц

Студенты одного из крупнейших университетов Пекина теперь обязаны сканировать свои лица при входе в здания общежитий. В связи с этим в ближайшем будущем охранники уже могут стать ненужными. дальше »

В цюрихском аэропорту пассажира узнают в лицо

Теперь во время паспортного контроля в аэропорту Цюриха пассажиры смогут, при желании, пройти паспортный контроль по новой системе биометрического распознавания лиц. дальше »

Мобильное приложение для слепых "Штурман" активно внедряется в Беларуси

В Витебской области (Беларусь) начато активное внедрение мобильного приложения для слепых "Штурман". дальше »

Сообщество и Oracle рассматривают возможность изменения модели разработки Java SE

Марк Рейнхольд, возглавляющий разработку Java в компании Oracle, выставил на обсуждение в сообществе разработчиков OpenJDK предложение по изменению модели разработки платформы Java SE и JDK. дальше »

HTC разработала ИИ-устройство для медицинской диагностики

Компания HTC представила новый комплекс, работающий на основе технологий искусственного интеллекта. дальше »

Умные концепты Panasonic на выставке IFA 2017

На международной выставке IFA 2017 в Берлине корпорация Panasonic представила концепты продуктов, использующих искусственный интеллект, роботизированные технологии и подключаемые сервисы. дальше »

Два смартфона Huawei обновятся до Android Oreo

Как минимум два смартфона Huawei — по одному из среднего и бюджетного ценового сегментов — обновятся до Android O. Об этом представители компании рассказали на встрече с поклонниками бренда, которая прошла 4 сентября в Нью-Дели. дальше »