Организация информационной безопасности


Умный чайник, глупый чайник

Фотография предоставлена:

«Умный» чайник, управляемый через мобильное приложение, оказался дырявым в непривычном для чайников смысле этого слова, как выяснил ИБ-исследователь из Лондона Кен Мунро (Ken Munro). Эксперт смог выявить уязвимые чайники этой модели по всему Лондону, что потенциально означает возможность взлома паролей от WiFi-сетей, по которым аппараты подключаются к Интернету.

Модель iKettle позволяет через специальное приложение автоматически включать и подогревать чайник, пока вы добираетесь до дома после работы, прихватив в магазине какой-нибудь вкусный пирог. Мунро же утверждает, что при помощи некоторых простых приемов из области социнженерии, двунаправленной антенны и некоторых «сетевых устройств» можно вынудить чайники iKettle сдать пароли от WiFi.

«Если вы неправильно сконфигурировали свой чайник, — без шуток заявляет Мунро, — вы становитесь легкой добычей для хакеров, который найдут ваш дом и получат контроль над чайником и над домашней беспроводной сетью».

Специалист рассказал, что атакующим надо установить сеть с тем же SSID – и тогда, при условии, что беспроводной сигнал сети хакера будет сильнее, чем сигнал домашней сети, чайник подключится к ней в первую очередь, отключившись от домашней. Затем расположившийся перед домом с двунаправленной антенной хакер, подключив чайник к своей сети, отправляет на устройство две простые команды и получает пароль от домашней сети в незашифрованном виде.

Взломать сети пользователей iKettle, привязавших чайник к соответственному Android-приложению, еще легче из-за того, что пароль к сети задан по умолчанию. Это не редкость – известно, например, о подобной уязвимости в беспроводных жестких дисках. С приложением для iOS дело обстоит несколько менее печально, но шестизначный цифровой код можно взломать методом брут-форса за несколько часов.

Мунро обнаружил уязвимые чайники iKettle на Google Maps, но предпочел не раскрывать эту информацию. Но это не поможет, если уязвимости в чайниках не будут закрыты: хакеры могут обнаружить своих жертв через сервис WIGLE.net или отследить излишне беспечных владельцев чайников в Твиттере, а затем сопоставить данные с директориями вроде 192.com.

При всей своей комичности новость обнажает удручающее состояние информационной безопасности в зарождающемся интернете вещей. Как и всякая новая технологическая концепция, IoT в настоящее время проходит привычные в таком случае детские болезни. О проблеме безопасности в мире, где все подключено к сети, уже задумались отраслевые альянсы и производители, но это, очевидно, только начало долгого пути.

21.10.2015 08:50