Ἡ ὁμάδα ἐρευνητῶν τῆς ESET γιὰ τὸ IoT (Internet of Things) ἐντόπισε πολλαπλὰ σοβαρὰ κενὰ ἀσφαλείας σὲ τρεῖς διαφορετικὲς κεντρικὲς μονάδες smart home, τὶς Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) καὶ eLAN-RF-003.
Οἱ συγκεκριμένες κεντρικὲς μονάδες (hub) χρησιμοποιοῦνται γιὰ νὰ ἐλέγχουν τὶς συνδεδεμένες συσκευὲς στὰ “ἔξυπνα σπίτια” καὶ σὲ ἄλλα περιβάλλοντα σὲ χιλιάδες νοικοκυριὰ καὶ ἑταιρεῖες σὲ Εὐρώπη καὶ ὅλο τὸν κόσμο.
Ὁρισμένα κενὰ ἀσφαλείας θὰ μποροῦσε νὰ τὰ ἐκμεταλλευτεῖ κάποιος εἰσβολέας γιὰ νὰ πραγματοποιήσει ἐπιθέσεις MitM (Man-in-the-middle), ὑποκλοπὲς καὶ παρακολούθηση, δημιουργία backdoors, ἢ καὶ νὰ ἀποκτήσει πλήρη πρόσβαση (root access) σὲ συσκευὲς καὶ στὸ περιεχόμενό τους. Στὴ χειρότερη τῶν περιπτώσεων, θὰ μποροῦσαν νὰ ἐπιτρέψουν σὲ κάποιον εἰσβολέα νὰ ἀποκτήσει τὸν ἔλεγχο τῶν κεντρικῶν μονάδων καὶ ὅλων τῶν περιφερειακῶν συσκευῶν ποὺ ἐλέγχουν.
H ESET γνωστοποίησε τὰ πορίσματα τῆς ἔρευνας στοὺς κατασκευαστὲς τῶν συγκεκριμένων συσκευῶν. Η Fibaro ἀποδείχθηκε ἐξαιρετικὰ συνεργάσιμη, διορθώνοντας τὰ περισσότερα ἀπὸ τὰ προβλήματα μέσα σὲ μερικὲς μέρες. Η eQ-3 ἀκολούθησε τὶς τυποποιημένες διαδικασίες καὶ ἐνημέρωσε τὶς συσκευὲς τῆς μέσα στὴν προκαθορισμένη περίοδο τῶν 90 ἡμερῶν. Η Elko κάλυψε μερικὰ ἀπὸ τὰ κενὰ ἀσφαλείας στὶς συσκευὲς τῆς μέσα στὴν προκαθορισμένη περίοδο τῶν 90 ἡμερῶν. Μερικὲς ἀπὸ τὶς εὐπάθειες ἀποκαταστάθηκαν σὲ νεότερες ἐκδόσεις τῶν συσκευῶν ἀλλὰ παραμένουν στὶς παλιότερες συσκευές, μὲ τὸν κατασκευαστὴ νὰ ἰσχυρίζεται ὅτι ὑπάρχουν περιορισμοὶ λόγω συμβατότητας τοῦ hardware.
“Συνειδητοποιήσαμε ὅτι ὑπάρχουν πολλαπλὰ κενὰ ἀσφαλείας σὲ συσκευὲς IoT (Internet of Things). Παράλληλα, ἡ ἔρευνά μας τεκμηριώνει ὅτι οἱ εὐπάθειες στὶς ρυθμίσεις, ἡ ἔλλειψη κρυπτογράφησης ἢ ταυτοποίησης δὲν εἶναι προβλήματα ποὺ ἀντιμετωπίζουν μόνο οἱ οἰκονομικὲς low-end συσκευὲς ἀλλὰ συχνὰ ἐντοπίζονται καὶ σὲ high-end συσκευές” δήλωσε ὁ Ondrej Kuboviσc, Εἰδικὸς Ἀσφαλείας καὶ Ἐνημέρωσης στὴν ESET.
Εἶναι σημαντικὸ νὰ τονιστεῖ ὅτι οἱ εὐπάθειες ποὺ περιγράφονται σὲ αὐτὸ τὸ ἄρθρο γνωστοποιήθηκαν τὸ 2018 στοὺς κατασκευαστές, οἱ ὁποῖοι στὴ συνέχεια κυκλοφόρησαν ἀναβαθμίσεις γιὰ νὰ ἀποκαταστήσουν τὶς περισσότερες ἀπὸ αὐτές. Στὴ συνέχεια, ἡ δημοσιοποίησή τους καθυστέρησε καθὼς ἡ ESET ἐπικέντρωσε τὴν ἔρευνά της σὲ ἄλλα κενὰ ἀσφαλείας ποὺ ἐξακολουθοῦσαν νὰ ὑφίστανται. Παρόλα αὐτά, μὲ τὶς αὐξημένες ἀνάγκες γιὰ ἀσφάλεια ποὺ ἰσχύουν σήμερα, ἡ ESET συμπεριλαμβάνει στὴ δημοσίευση καὶ τὰ εὐρήματα παλαιότερων ἐρευνῶν γιὰ νὰ ἐνημερώσει ὅλους τους ἰδιοκτῆτες τῶν συσκευῶν ποὺ ἐπηρεάζονται ὥστε νὰ ἐγκαταστήσουν τὶς ἀναβαθμίσεις στὶς συσκευές τους, νὰ αὐξήσουν τὴν ἀσφάλεια καὶ νὰ μειώσουν τὸν κίνδυνο.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου