Az IoT és az okos otthonok világában az intetnetre csatlakozó eszközök mindegyike támadási pontot jelent. Itt a példa, hogy ez alól még az állatetetők sem kivételek.
Hirdetés
 

Egy orosz biztonsági kutató állítólag teljesen véletlenül fedezte fel, hogyan lehet meghekkelni és adott esetben irányítása alá vonni a Xiaomi által gyártott egyik okos otthoni eszköz bámelyik példányát. A szentpétervári Anna Proszvetova (akire egyébként szakmai körökben is elismert hekkerként hivatkoznak) egy olyan sebezhetőséget azonosított a FurryTail nevű céggel közösen kiadott állatetetők backend API-jában és firmware-ében, amely mások mellett azt is lehetővé teszi, hogy azonosítani tudja a világon az összes, éppen bekapcsolt állapotban lévő készüléket, és ezek beállításait bármilyen jelszó ismerete nélkül módosíthassa.

Az okos állatetetőnek is nevezett eszközök tulajdonképpen egy tartályból és egy adagolóból állnak, kényelmi szolgáltatásként pedig egy mobil alkalmazásból konfigurálható, hogy milyen rendszerességgel milyen mennyiségű tápot szórjanak ki az otthon hagyott háziállatoknak. A Xiaomi fenti, eredetileg közösségi finanszírozásban megvalósított, akciósan akár 50 dollárért is beszerezhető termékei kifejezetten a kutyáknak vagy macskáknak szánt élelem kezelésére valók, és jellemzően azokban az esetekben van értelme használni őket, amikor a tulajdonosok hosszabb utazásra indulnak az állataik nélkül.

Proszvetova a ZDNet beszámolója alapján összesen majdnem 11 ezer ilyen készüléket azonosított világszerte. Felfedezte azt is, hogy a FurryTail etetők a kínai Espressif Systems által szállított, ESP8266 jelzésű wifi-modulokat használják a hálózathoz való csatlakozásra, amelyeknek egy ismert sérülékenységét kihasználva a támadók új firmware-t tölthetnek le és telepíthetnek az eszközökre, majd újra is indíthatják azokat, hogy érvényesítsék a változtatásokat. Innentől pedig már többről van szó, mint egy rakás éhen maradt macskáról.

Szaporodó és elhanyagolt kockázatok

A szakember szerint a sebezhetőség ideális lehet például azoknak a támadóknak, akik egyszerűen azért akarják feltörni az adagolókat, hogy egy IoT DDoS botnet irányítása alá vonják azokat – ráadásul a műveletek ebben az esetben teljesen automatizálhatók, és éppen ezért tömeges léptékben is kivitelezhetők. Proszvetova egyébként a hibák leírását továbbította a Xiaomi részére, és a cég válaszát is közzétette, amelyben ígéretet tesznek a probléma orvoslására.

A sebezhetőségek pontos technikai részleteit a kutató egyelőre nem hozta nyilvánosságra, hogy időt adjon a gyártónak a javítások elkészítésére és a frissítések levezénylésére. Érdekesség, hogy a Xiaomi képviselője szerint ezért nem jár jutalom, mivel a társaság – ellentétben a legtöbb nemzetközi technológiai vállalattal – nem futtat semmilyen hibavadász programot (vulnerability rewards program – VRP) a hasonló biztonsági hibák felfedezések és megfelelő módon való jelentésének anyagi ösztönzésére.

Ahogy azt a macskaetetős ügyről beszámoló hírforrások megjegyzik, mindez egy újabb apró bizonyíték rá, hogy az okos otthonokba szánt gépek és kütyük nem csak gombamód szaporodnak, de az internetre csatlakozó eszközök általános biztonsági dizájnja is csapnivaló. Ráadásul nem csak a noname gyártók esetében merülnek fel problémák: bár a Xiaomi sem számít kis márkának, sorozatban jelennek meg a hírek a legmagasabb konzumer piaci standardokat képviselő márkák fiaskóiról is. Ilyen volt például a nyár végén, amikor a Cisco (Talos) kutatói összesen nyolc komoly sérülékenységet azonosítottak a Google Nest Cam IQ felső kategóriás biztonsági kamerarendszerében.

Biztonság

Le kell-e mondani a távmunkázóknak a céges karrierről?

Ha valaki nem szeretne élete végéig a céges hierarchia alján maradni, nehéz helyzetben lesz, ha a távmunkát választja – vélik egyes szervezetfejlesztési szakértők.
 
A biztonság kiszervezéséhez komoly bizalmi tőke kell, ami lassan épül fel, de tartósabb is, mint a betyárbecsület.

a melléklet támogatója a Euro One

Hirdetés

Így érdemes kialakítani a biztonságfelügyeletet

A jó példákért nem kell messze menni. Az alábbiakban csupa magyarországi bevált gyakorlat következik.

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Mi köze az IBM licencszerződések apró betűs kitételeinek ahhoz, hogy a Microsoft Windows Server 2008 életciklusának végéhez ér? Rogányi Dániel (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.