Hloupá „chytrá domácnost“? Hackeři přes nezabezpečené servery ovládnou i dveře

Bezpečnostní riziko

Hloupá „chytrá domácnost“? Hackeři přes nezabezpečené servery ovládnou i dveřeNOVÉ
Ilustrační snímek Foto:

FOTO: Shutterstock

1
Panorama

vt Echo24

Hackeři se mohou skrze špatně nastavený server nabourat do chytrých domácích zařízení. Takto nedostatečně zabezpečených serverů je více než 32 000, z toho 158 českých, vyplývá z výzkumu bezpečnostní společnosti Avast. Domácnosti a firmy se tak vystavují nejen riziku úniku citlivých dat, ale také šance, že umožní hackerům na dálku ovládat třeba garážová vrata nebo sledovat polohu uživatelů.

„Je hrozivě snadné získat přístup a kontrolu nad chytrým domovem člověka, protože stále existuje mnoho nedostatečně zabezpečených protokolů, které se datují do dávných let, kdy bezpečnost nebyla hlavní prioritou,“ uvedl Martin Hron, bezpečnostní výzkumník Avastu.

„Lidé by měli věnovat větší pozornost bezpečnosti připojených zařízení a služeb, které ovládají osobní a privátní části jejich domovů, a hlavně nepodcenit jejich správnou konfiguraci,“ dodává.

Podle společnosti není 32 000 serverů chráněno ani heslem a vystavuje se tak riziku úniku dat. V Česku se konkrétně jedná o 158 domácností a firem. Více než 49 000 serverů MQTT (Message Queuing Telemetry Transport) je navíc veřejně viditelných na internetu.

Protokol MQTT slouží k propojení a ovládání chytrých domácích zařízení pomocí tzv. smart home hubu. Při implementaci nastaví server sami spotřebitelé. Server se obvykle nachází v počítači nebo v mini počítači, jako je například Raspberry Pi, ke kterému se mohou zařízení připojit a komunikovat s ním.

Mohou ovládat garážová vrata či sledovat polohu uživatele

Zatímco protokol MQTT je sám o sobě bezpečný, závažné bezpečnostní problémy mohou nastat, pokud je MQTT nesprávně implementován a nakonfigurován. Kyberútočníci by mohli získat plný přístup k domácnosti, manipulovat se zábavními systémy, hlasovými asistenty a domácími zařízeními a vědět, kdy jsou jejich majitelé doma a zda jsou dveře a okna otevřená či zavřená. Za určitých podmínek mohou útočníci dokonce sledovat polohu uživatele, což může být vážným bezpečnostním ohrožením soukromí.

Otevřené a nechráněné servery lze nalézt pomocí vyhledávače Shodan IoT a po připojení mohou hackeři číst zprávy přenášené pomocí protokolu MQTT. Výzkum Avastu ukazuje, že hackeři mohou například číst stav chytrých senzorů oken a dveří a zjistit, kdy se světla rozsvěcují a zhasínají. V tomto konkrétním případě Avast zjistil, že externí uživatelé mohou ovládat připojená zařízení nebo alespoň podvrhnout data pomocí protokolu v zastoupení jiného zařízení. Tímto způsobem by například útočník mohl poslat zprávy do smarthome hubu a otevřít garážová vrata.

„MQTT v určitých případech umožňuje hackerům sledovat polohu uživatelů, téměř v reálném čase. Mnoho serverů je připojeno k mobilní aplikaci s názvem OwnTracks. která umožňuje uživatelům sdílet svou polohu s ostatními, ale může být rovněž využívána majiteli chytrých domácností. Třeba aby chytrá zařízení věděla, kdy se uživatel blíží k domovu a aktivovala se (např. chytrá osvětlení),“ píše bezpečnostní společnost v tiskové zprávě.

Aby bylo možné nakonfigurovat funkci sdílení polohy, uživatelé musí aplikaci připojit k serveru MQTT a jej na internetu. Během procesu uživatelé nemají povinnost nastavit přihlašovací údaje, což znamená, že se k serveru může připojit kdokoliv. Hackeři mohou číst zprávy, které obsahují informace o stavu baterie, umístění telefonu uživatele včetně zeměpisné polohy, nadmořské výšky a časového razítka, kdy byla poloha zaznamenána.

Čtěte také: Jedenáctiletý chlapec prolomil model volebního systému USA. Trvalo mu to jen 10 minut

V Týdeníku Echo a na EchoPrime se dozvíte více, získáte je zde.