Az IoT és az okos otthonok világában az intetnetre csatlakozó eszközök mindegyike támadási pontot jelent. Itt a példa, hogy ez alól még az állatetetők sem kivételek.

Egy orosz biztonsági kutató állítólag teljesen véletlenül fedezte fel, hogyan lehet meghekkelni és adott esetben irányítása alá vonni a Xiaomi által gyártott egyik okos otthoni eszköz bámelyik példányát. A szentpétervári Anna Proszvetova (akire egyébként szakmai körökben is elismert hekkerként hivatkoznak) egy olyan sebezhetőséget azonosított a FurryTail nevű céggel közösen kiadott állatetetők backend API-jában és firmware-ében, amely mások mellett azt is lehetővé teszi, hogy azonosítani tudja a világon az összes, éppen bekapcsolt állapotban lévő készüléket, és ezek beállításait bármilyen jelszó ismerete nélkül módosíthassa.

Az okos állatetetőnek is nevezett eszközök tulajdonképpen egy tartályból és egy adagolóból állnak, kényelmi szolgáltatásként pedig egy mobil alkalmazásból konfigurálható, hogy milyen rendszerességgel milyen mennyiségű tápot szórjanak ki az otthon hagyott háziállatoknak. A Xiaomi fenti, eredetileg közösségi finanszírozásban megvalósított, akciósan akár 50 dollárért is beszerezhető termékei kifejezetten a kutyáknak vagy macskáknak szánt élelem kezelésére valók, és jellemzően azokban az esetekben van értelme használni őket, amikor a tulajdonosok hosszabb utazásra indulnak az állataik nélkül.

Proszvetova a ZDNet beszámolója alapján összesen majdnem 11 ezer ilyen készüléket azonosított világszerte. Felfedezte azt is, hogy a FurryTail etetők a kínai Espressif Systems által szállított, ESP8266 jelzésű wifi-modulokat használják a hálózathoz való csatlakozásra, amelyeknek egy ismert sérülékenységét kihasználva a támadók új firmware-t tölthetnek le és telepíthetnek az eszközökre, majd újra is indíthatják azokat, hogy érvényesítsék a változtatásokat. Innentől pedig már többről van szó, mint egy rakás éhen maradt macskáról.

Szaporodó és elhanyagolt kockázatok

A szakember szerint a sebezhetőség ideális lehet például azoknak a támadóknak, akik egyszerűen azért akarják feltörni az adagolókat, hogy egy IoT DDoS botnet irányítása alá vonják azokat – ráadásul a műveletek ebben az esetben teljesen automatizálhatók, és éppen ezért tömeges léptékben is kivitelezhetők. Proszvetova egyébként a hibák leírását továbbította a Xiaomi részére, és a cég válaszát is közzétette, amelyben ígéretet tesznek a probléma orvoslására.

A sebezhetőségek pontos technikai részleteit a kutató egyelőre nem hozta nyilvánosságra, hogy időt adjon a gyártónak a javítások elkészítésére és a frissítések levezénylésére. Érdekesség, hogy a Xiaomi képviselője szerint ezért nem jár jutalom, mivel a társaság – ellentétben a legtöbb nemzetközi technológiai vállalattal – nem futtat semmilyen hibavadász programot (vulnerability rewards program – VRP) a hasonló biztonsági hibák felfedezések és megfelelő módon való jelentésének anyagi ösztönzésére.

Ahogy azt a macskaetetős ügyről beszámoló hírforrások megjegyzik, mindez egy újabb apró bizonyíték rá, hogy az okos otthonokba szánt gépek és kütyük nem csak gombamód szaporodnak, de az internetre csatlakozó eszközök általános biztonsági dizájnja is csapnivaló. Ráadásul nem csak a noname gyártók esetében merülnek fel problémák: bár a Xiaomi sem számít kis márkának, sorozatban jelennek meg a hírek a legmagasabb konzumer piaci standardokat képviselő márkák fiaskóiról is. Ilyen volt például a nyár végén, amikor a Cisco (Talos) kutatói összesen nyolc komoly sérülékenységet azonosítottak a Google Nest Cam IQ felső kategóriás biztonsági kamerarendszerében.

Biztonság

Megvan az év legjobb projektmenedzsere

A Generáli Biztosító szakembere kapta az idén már 19. alkalommal átadott elismerést.
 
A 21. századi vállalatok legjobbika is csak félkarú óriás informatika nélkül, rugalmasság és hatékonyság tekintetében azonban jelentősek a különbségek ezen a téren. Vajon az évtized végén hogyan néz ki egy jól működő IT szervezet?

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.