Слабозащищённые «умные» IoT-розетки могут дать хакерам доступ к электронной почте владельца

25/08/2016

Слабозащищённые «умные» IoT-розетки могут дать хакерам доступ к электронной почте владельца

«Умные» розетки воспринимаются как устройства, способные упростить доступ к управлению различными бытовыми приборами. Но как оказалось — это не единственная их способность. Специалисты Bitdefender доказали, что, если такие устройства имеют недостаточный уровень защиты, они также могут существенно помочь злоумышленникам в получении доступа ко всей технике в вашем жилье, а заодно — и к электронной почте.

Bitdefender — румынская компания, ставшая известной благодаря своим комплексным решениям по защите электронных сетей от кибер-атак. В прошлый четверг, 18 августа, её специалисты обратили внимание производителей, поставщиков, инсталлеров и покупателей смарт-техники на устройства, которые на первый взгляд являются весьма безопасными. Из-за отсутствия очевидных на первый взгляд рисков, в таких гаджетах не используются сложные системы шифрования и исходные пароли, а пользователям не напоминают о важности создания собственных, более сложных. Такими устройствами оказались «умные» розетки.

Смарт-розетки, которые можно подключить к Интернету вещей, достаточно быстро стали популярными среди потребителей. Причин тому много — простой контроль за потреблением электроэнергии домашней техникой, возможность создавать графики работы различных устройств, спокойствие по поводу того, отключены ли временно ненужные приборы, оставленные дома и т.д. При этом в компании Bitdefender обнаружили, что на одну из самых популярных моделей этого класса может быть легко установлено вредоносное ПО, предоставляющее доступ к сети бытовых устройств, а также электронной почте, с которой они все связаны.

Процесс настройки изученной розетки предполагает загрузку фирменного приложения с последующим указанием учётных данных, необходимых для её подключения к сети. После этого, посредством протокола передачи типа UDP, устройство отправляет на сервера производителя информацию о своём названии, модели, а также используемый MAC-адрес, после чего на него приходит актуальная версия ПО. В процессе работы гаджет может отправлять на электронную почту уведомления об изменениях режима работы. Подключившись к сессии передачи данных, злоумышленник может «вытащить» всю эту информацию, использовав её в своих целях.

При этом существует сразу несколько факторов риска, возникающих на разных уровнях:

·         ненадёжный пароль Wi-Fi, заданный пользователем;

·         ненадёжный пароль устройства, заданный производителем;

·         отказ пользователя (инсталлера) от изменения изначального пароля устройства или выбор слишком простой комбинации в качестве кода доступа;

·         использование производителем алгоритма кодирования данных вместо шифрования;

·         использование владельцем настроек по умолчанию (в особенности тех, которые касаются параметров безопасности и отправки уведомлений).

Проникнув в сеть, злоумышленник может не только изменять настройки самой розетки, но и посредством созданной бреши получать доступ к другим устройствам сети. Сотрудники Bitdefender уведомили производителя обо всех выявленных уязвимостях, предоставив 30 дней на их исправление. Если за отведённое время производитель не устранит бреши, его имя будет публично оглашено.

 

Фото: Слабозащищённые «умные» IoT-розетки могут дать хакерам доступ к электронной почте владельца (источник: Bitdefender)