0724.236.133 / 0725.541.835 Str. CPT. CONSTANTIN MERIŞESCU Nr.39D, SECTOR 2 BUCURESTI

Kaspersky Lab descopera un centru de comanda pentru locuinte inteligente, vulnerabil la atacuri

Nov
22
2018

Cercetatorii Kaspersky Lab au descoperit vulnerabilitati intr-un centru de comanda pentru locuinte inteligente, folosit pentru a gestiona toate modulele conectate si senzorii instalati in locuinta. Analiza dezvaluie ca este posibil ca un atacator sa acceseze de la distanta serverul produsului si sa descarce o arhiva continand datele personale ale utilizatorilor, de care este nevoie pentru a le accesa contul si a prelua controlul asupra sistemelor de acasa.

Pe masura ce creste popularitatea dispozitivelor conectate, centrele de comanda (‚hubs”) pentru locuinte inteligente sunt si ele la mare cautare. Acestea simplifica mult managementul casei, reunind toate setarile dispozitivelor intr-un singur loc si permitand utilizatorilor sa le puna in functiune si sa le controleze prin intermediul unor interfete web sau aplicatii mobile. Mai mult, unele dintre ele sunt folosite si ca sistem de securitate. In acelasi timp, fiind un „integrator”, acest sistem este o tinta atractiva pentru infractorii cibernetici, care le-ar putea servi ca punct de intrare pentru atacuri de la distanta. Anul trecut, Kaspersky Lab a studiat un dispozitiv pentru locuinte inteligente care s-a dovedit a oferi o vasta suprafata de atac pentru intrusi, din cauza algoritmilor care genereaza parole slabe si a port-urilor deschise. Pe parcursul noii investigatii, cercetatorii au descoperit ca un design deficitar la capitolul siguranta si mai multe vulnerabilitati in structura dispozitivului inteligent ar putea sa le dea infractorilor acces in locuinta cuiva.

In primul rand, cercetatorii au descoperit ca centrul de comanda trimite datele utilizatorului atunci cand are de comunicat ceva unui server, inclusiv datele de autentificare necesare pentru accesarea interfatei web a centrului de comanda inteligent: numele de utilizator si parola. In plus, acolo pot fi gasite si alte informatii personale, cum ar fi numarul de telefon al utilizatorului, pe care sa primeasca alerte. Atacatorii pot descarca arhiva cu aceste informatii, trimitand o solicitare legitima catre server, care include numarul de serie al dispozitivului. Analiza arata ca numarul de serie poate fi descoperit de intrusi si din cauza metodelor simpliste de generare a acestuia.

Potrivit expertilor, numerele de serie pot fi aflate si prin metoda „brute-force”, folosind analiza logica si apoi confirmandu-le printr-o solicitare catre server. Daca un dispozitiv cu acel numar de serie este inregistrat in sistem, infractorii vor primi informatii pozitive. Prin urmare, se pot loga in contul de web al utilizatorului si controla toate setarile senzorilor si ale dispozitivelor de management conectate la centrul de comanda.

Toate informatiile despre vulnerabilitatile descoperite au fost comunicate producatorului si sunt in curs de remediere.

Pentru a fi in siguranta, Kaspersky Lab le recomanda utilizatorilor:

  • Sa foloseasca intotdeauna o parola complexa si sa nu uite sa o schimbe la intervale regulate.
  • Sa fie la curent cu ultimele informatii despre vulnerabilitatile descoperite si remediate ale dispozitivelor inteligente.

 

Kaspersky Lab este cea mai buna solutie de securitate informatica, la nivel mondial. Alegeti solutiile de top Kaspersky  pe care NET-Conect Technologies vi le poate pune la dispozitie.

 

© Net-Conect.ro