חשבתם שהבית החכם מוגן מסכנות סייבר? טעיתם, גם מכונת הקפה היא יעד להאקרים

בבחירה אקראית של מגוון מוצרי IoT חדשים חשפו חוקרי מעבדת קספרסקי איומים חמורים על הבית המקושר. אלה כוללים מכונת קפה החושפת את סיסמת ה- Wi-Fi הביתית, מוניטור לתינוק המאפשר השתלטות על ידי גורם זדוני חיצוני ומערכת אבטחה הנשלטת בסמארטפון שניתן לשטות בה באמצעות מגנט.

ב- 2014, בחן מומחה מעבדת קספרסקי דיוויד ג'קובי את המוצרים בסלון הביתי שלו והחליט לחקור עד כמה המכשירים שבבעלותו חשופים למתקפת סייבר. הוא גילה כי כמעט כולם היו פגיעים. בעקבות כך, חזר ב- 2015 צוות של מומחי קוד זדוני של מעבדת קספרסקי על הניסוי עם הבדל קטן אחד: בעוד המחקר של דיוויד התמקד בעיקר בשרתים המחוברים לרשת, נתבים וטלוויזיות חכמות, המחקר החדש התמקד במכשירים מקושרים שונים הזמינים בשוק הבית החכם.

המכשירים שנבחרו לניסוי הם: התקן USB להזרמת וידאו, מצלמת IP הנשלטת על ידי טלפון חכם, מכונת קפה הנשלטת על ידי מכשיר חכם ומערכת אבטחה ביתית הנשלטת על ידי הסמארטפון. החקירה חשפה כי כמעט כל המכשירים האלה מכילים פרצות.

המוניטור לתינוק מאפשר לתוקף, המשתמש באותה הרשת של המצלמה, להתחבר למצלמה, לצפות בוידיאו שלה ולהפעיל אודיו במצלמה עצמה. מצלמות אחרות מאותו הספק אפשרו להאקרים להשיג סיסמאות של הבעלים. המחקר הראה גם כי האקר באותה הרשת יכול גם לשלוף את סיסמת הליבה מהמצלמה ולשנות באופן זדוני את תוכנת הליבה (firmware).

במכונת הקפה שנבדקה, הנשלטת על ידי אפליקציה, אפילו לא חייב התוקף להיות על אותה הרשת כמו הקורבן. מכונת הקפה שנבחנה שלחה מספיק מידע בלתי מוצפן כך שתוקף יכול לגלות את הסיסמא לרשת ה- Wi-Fi שאליה היתה מחוברת מכונת הקפה.

כאשר בחנו מערכת אבטחה ביתית הנשלטת מהסמארטפון, גילו חוקרי מעבדת קספרסקי כי תוכנת המערכת הכילה בעיות שוליות והייתה מאובטחת מספיק כדי להתנגד למתקפת סייבר. אך עדיין נמצאה פרצה באחד מהחיישנים של המערכת.

חיישן המגע, אשר נועד להפעיל את האזעקה כאשר חלון או דלת נפתחים, עובד באמצעות זיהוי שדה מגנטי המשודר על ידי מגנט המותקן על הדלת או החלון. כאשר הדלת או החלון נפתחים -השדה המגנטי נעלם, וגורם לחיישן לשדר התראה למערכת. אם השדה המגנטי נותר במקומו, האזעקה לא תופעל.

במהלך בחינת מערכת האבטחה הביתית, מומחי מעבדת קספרסקי הצליחו באמצעות מגנט פשוט להחליף את השדה המגנטי של החלון. המשמעות היא שהם יכולים לפתוח ולסגור את החלון ללא הפעלת אזעקה. הבעיה הגדולה עם פרצה זו היא שלא אפשרי לתקן אותה באמצעות עדכון תוכנה. הבעיה היא בתכנון מערכת האבטחה עצמו. מה שמדאיג אף יותר הוא שמכשירים מבוססי חיישנים של שדה מגנטי הם נפוצים, ומשמשים מספר מערכות אבטחה ביתיות הנמצאות בשוק.

"המחקר שלנו הראה כי ספקים מתייחסים לסיכוני סייבר כאשר הם מפתחים מכשירי IoT. עם זאת, כל מכשיר מקושר הנשלט על ידי אפליקציה כולל כמעט תמיד לפחות בעיית אבטחה אחת. עבריינים עלולים לנצל מספר מהבעיות האלה בבת אחת, ולכן חשוב כל כך שספקים יתקנו את כל הבעיות, אפילו אלו שאינן קריטיות. פרצות אלה צריכות להיות מתוקנות לפני שהמוצר מגיע לשוק, מכיוון שעלול להיות קשה בהרבה לתקן בעיות כאשר מכשיר כבר נמכר לאלפי בתים", אמר ויקטור אליושין, חוקר בכיר במעבדת קספרסקי.

במטרה לסייע למשתמשים להגן על עצמם מפני סיכוני הפרצות במכשירי בתים חכמים, מומחי מעבדת קספרסקי ממליצים לפעול על פי כללי האצבע הבאים:

1. לפני רכישת כל מכשיר IoT, חפשו באינטרנט אחר חדשות לגבי פירצה במכשיר הספציפי. ה- IoT הוא נושא חם וחוקרים רבים עושים עבודה נהדרת במציאת בעיות אבטחה במוצרים מסוג זה: החל ממוניטורים לתינוקות ועד לרובים הנשלטים על ידי אפליקציות. ייתכן מאוד שהמכשיר שאתה עומד לרכוש כבר נבדק על ידי חוקרי אבטחה ואפשר לגלות אם בעיות שנמצאו במכשיר כבר תוקנו.
2. זה לא תמיד רעיון טוב לקנות את הגרסה העדכנית ביותר של מכשיר הקיימת בשוק. לצד תקלות רגילות הקיימות במוצרים חדשים, מכשירים שהושקו לאחרונה עלולים להכיל בעיות אבטחה שעדיין לא התגלו על ידי חוקרים. העצה הטובה ביותר היא לרכוש מוצר שכבר עבר מספר עדכוני תוכנה.
3. כאשר בוחרים איזה חלק בחייכם עומד להפוך לחכם, יש לשקול את סיכוני האבטחה. אם בבית קיימים חפצים בעלי ערך, רצוי לשקול התקנת מערכת אבטחה מקצועית, שיכולה להשלים או להחליף את מערכת האזעקה הביתית שנשלטת על ידי אפליקציה. אפשר גם להתקין מערכת קיימת בדרך כזו שלכל פירצה אפשרית לא תהיה השפעה על פעילותה. כאשר בוחרים מכשיר שאוסף מידע על החיים הפרטיים שלכם ושל משפחתכם, כגון מוניטור לתינוק, ייתכן ומוטב יהיה לבחור מודל RF פשוט הקיים בשוק, המסוגל לשדר רק אודיו, ללא קישוריות לאינטרנט. אם הדבר לא מתאפשר, עקבו אחר העצה הראשונה – בחרו בחכמה.

את המאמר המלא "לשרוד בעולם האינטרנט של הדברים: כיצד להשתמש במכשירים חכמים ולהשאיר את ההאקרים רחוקים" ניתן לקרוא ב- Securelist.com