קספרסקי מזהה עוד מערכת בית חכם פרוצה לשליטה מרחוק

חוקרי מעבדת קספרסקי חשפו פרצות במערכת בית חכם (smart hub) המשמשת כדי לנהל את כל הרכיבים המרושתים והחיישנים שמותקנים בבית – ומפנים אצבע מאשימה ליצרנים:  "נראה כאילו כל מכשיר IoT – אפילו הפשוט ביותר – מכיל לפחות בעיית אבטחה אחת"

אחרי שנים שבהן נהנו מיתרונות הבית החכם רק משתמשים מעטים, בשנים האחרונות צומחת מאוד הפופולאריות של מכשירים מרושתים וגובר גם הביקוש למערכות ניהול מרכזיות של בתים חכמים. יחד עם זאת, מאחר והן גורם "מאחד" של יישומים, הן הופכות גם למטרה מושכת עבור עברייני הסייבר שרואים בהן נקודת פריצה יעילה להתקפות מרחוק.

מוקדם יותר השנה, מעבדת קספרסקי בחנה מכשיר בית חכם שהתגלה כמכשיר המספק מישור התקפה נרחב לפולשים, כתוצאה משימוש באלגוריתם חלש ליצירת סיסמאות ופורטים פתוחים. במהלך החקירה החדשה, החוקרים גילו כי תכנון שאינו מאובטח ומספר חולשות בארכיטקטורה של המכשיר החכם, יכולות לספק לעבריינים גישה לבתי המשתמשים.

החוקרים חשפו כי המערכת שולחת את נתוני המשתמש כאשר היא מתקשרת עם השרת שלה, כולל  את הרשאות הכניסה למערכת, שם המשתמש והסיסמא, הנדרשות כדי להתחבר לממשק הרשת. יותר מכך, מידע אישי נוסף, כגון מספר הטלפון בו נעשה שימוש כדי לקבל התראות, עלול גם הוא להיכלל במידע הנשלח. תוקפים מרוחקים יכולים להוריד את הארכיב שמכיל מידע זה באמצעות שליחה של בקשה לגיטימית לשרת, כולל המספר הסיריאלי של המכשיר. הניתוח של החברה מראה כי פורצים יכולים לחשוף את מספר המכשיר בגלל השיטות הפשוטות בהן הוא נוצר.

על פי המומחים, ניתן לפרוץ מספר סיריאלי באמצעות פריצת-כח (brute-force) ובאמצעות שימוש בניתוח לוגי, ואז לאמת את המספר באמצעות שליחת בקשה לשרת. אם מכשיר עם המספר הסיריאלי רשום במערכת ענן, העבריינים יקבלו אימות לכך. כתוצאה מכך, הם יכולים להתחבר לחשבון הרשת של המשתמש ולנהל את הגדרות החיישנים והבקרים המחוברים למערכת הבית החכם.

כל המידע אודות הפרצות שנחשפו דווח לספק והן מטופלות כעת.

"למרות שמכשירי IoT נמצאים במוקד של חוקרי הגנת סייבר בארבע השנים האחרונות, שוב ושוב הם מתגלים כחסרי אבטחה. בחרנו באופן רנדומלי מערכת בית חכם מסוימת, והעובדה שמצאנו אותה פרוצה אינה מצביעה על היוצא מן הכלל, אלא תומכת בעובדת הימצאותן של בעיות אבטחה רבות בעולם ה- IoT. נראה כאילו כל מכשיר IoT – אפילו הפשוט ביותר – מכיל לפחות בעיית אבטחה אחת. לדוגמא, נתחנו לאחרונה נורת תאורה חכמה.  מה כבר יכול להשתבש בנורה שרק מאפשרת לך לשנות את צבע האור ומספר פרמטרים נוספים באמצעות הטלפון החכם? מצאנו כי כל ההרשאות לרשתות ה- Wi-Fi, שמות וסיסמאות, אליהן הנורה התחברה בעבר, מאוחסנות בזיכרון ללא הצפנה. במילים אחרות, המצב הנוכחי בעולם אבטחת ה- IoT הוא שאפילו הנורה שלך מהווה סיכון", אמר ולאדימיר דשנצ'קו, ראש קבוצת מחקר פרצות, ICS CERT של מעבדת קספרסקי.

"חשוב ביותר שיצרנים ידאגו להגנה ראויה למשתמשים שלהם, ויעניקו תשומת לב רבה יותר לנושאי האבטחה כאשר הם מפתחים ומשיקים את המוצרים שלהם. גם הפרטים הקטנים ביותר בתכנון שאינו מאובטח יכולים להוביל לתוצאות מסוכנות", הוסיף דשצ'נקו.