Ερευνητές ασφαλείας παρουσίασαν στο συνέδριο της RSA του Σαν Φρανσίσκο, σε ένα συγκεντρωμένο πλήθος δημοσιογράφων και εμπειρογνωμόνων του κυβερνοχώρου, μια απροσδόκητη προσέγγιση για το hacking σε ένα smart home.
Συγκεκριμένα εξήγησαν, ότι δεν πρέπει να ανησυχούμε μόνο για το IoT που περιλαμβάνει ορισμένες συσκευές όπως κάμερες και ψυγεία. Αντίθετα, καθώς οι άνθρωποι προσθέτουν όλο και περισσότερες έξυπνες συσκευές στη ζωή τους, πρέπει επίσης να δίνουν προσοχή στα συστήματα που διαχειρίζονται τις αλληλεπιδράσεις μεταξύ αυτών των συσκευών.
Στο επίκεντρο αυτής της ευπάθειας είναι αυτό, που οι δύο ερευνητές της Trend Micro, Stephen Hilt και Numaan Huq, αποκαλούν «complex IoT environments» (CIE). Σε ένα αντίστοιχο έγγραφο που περιγράφει λεπτομερώς την απειλή, ορίζουν ένα τέτοιο περιβάλλον ως ένα έξυπνο σπίτι (και όχι μόνο) με δέκα ή περισσότερες συσκευές IoT συνδεδεμένες μεταξύ τους. Το πρόβλημα εντοπίζεται στο πώς αλληλεπιδρούν αυτά τα έξυπνα gadgets, μέσω μιας λεγόμενης πλατφόρμας αυτοματοποίησης του IoT.
Φανταστείτε να ρυθμίζετε το έξυπνο θυροτηλέφωνό σας, ώστε τα έξυπνα φώτα να ανάβουν όταν ανιχνεύει μια προκαθορισμένη ποσότητα εξωτερικού φωτός. Η πλατφόρμα αυτοματοποίησης θα είναι ο συνδετικός ιστός που θα περιβάλλει τις δύο αυτές υπηρεσίες.
«Μια πλατφόρμα αυτοματισμού IoT χρησιμεύει ως ένας τύπος εγκεφάλου για το CIE και επιτρέπει τη δημιουργία έξυπνων εφαρμογών, μέσω προσαρμοσμένων κανόνων, επιτρέποντας έτσι στις συσκευές να αλληλεπιδρούν και να επικοινωνούν μεταξύ τους», αναφέρει μια συνοδευτική δημοσίευση της Trend Micro.
Αν μπορούν να προσεγγιστούν αυτοί οι «εγκέφαλοι» – και αποδεικνύεται ότι είναι πολύ πιθανό – τότε ολόκληρο το σύστημα μπορεί να χακαριστεί.
Ας πούμε ότι ρυθμίσατε το smart home σας, να σας στείλει μια φωτογραφία, μέσω του Slack, κάθε φορά που η εξωτερική σας κάμερα ανιχνεύει κίνηση. Ακούγετε σίγουρα πολύ ωραίο. Αν όμως οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση στην πλατφόρμα που πραγματοποιεί αυτή την επικοινωνία μεταξύ της κάμερας και του Slack, τότε μπορούν να παρεμποδίσουν την κανονική εικόνα και να προωθήσουν μια άλλη φωτογραφία του σπιτιού σας.
Ή ένα πρόγραμμα το οποίο αφού ανιχνεύσει ότι το smartphone σας έχει συνδεθεί με το οικιακό δίκτυο Wi-Fi, ξεκλειδώνει την έξυπνη κλειδαριά της μπροστινής πόρτας. Αυτό είναι εξαιρετικά φουτουριστικό και διασκεδαστικό, έως ότου ένας χάκερ παραβιάσει το πρόγραμμα ώστε να αναγνωρίζει και το τηλέφωνό του και έπειτα να μπορεί να μπει στο σπίτι σας, ενώ εσείς λείπετε.
Σύμφωνα με τους Hilt και Huq, υπάρχουν αρκετοί εκτεθειμένοι servers αυτοματισμού IoT, που μπορούν εύκολα και γρήγορα να βρεθούν μέσω της μηχανής αναζήτησης Sotan. Οι ερευνητές ήταν σε θέση να ανακαλύψουν χιλιάδες άτομα.
Επιπλέον, αυτοί οι servers παρέχουν ενίοτε συγκεκριμένα δεδομένα γεωγραφικού πλάτους και γεωγραφικού μήκους για ένα συγκεκριμένο σπίτι. Αυτό σημαίνει ότι όχι μόνο ένας hacker θα μπορούσε να εκμεταλλευτεί ένα έξυπνο σπίτι στο διαδίκτυο, αλλά θα μπορούσε να εντοπίσει και την τοποθεσία του. Σε ένα ανησυχητικό παράδειγμα, οι ερευνητές σημείωσαν ότι βρήκαν ένα εκτεθειμένο έξυπνο οικιακό σύστημα που ανήκε σε ένα σπίτι το οποίο έτυχε να βρίσκεται πολύ κοντά στο μέρος όπου βρίσκονταν και οι ίδιοι.
Αυτό σημαίνει ότι πρέπει να δώσετε προσοχή όχι μόνο στην ασφάλεια των έξυπνων συσκευών σας, αλλά και στην ασφάλεια του συστήματος που τις συνδέει.