Video: Justice League (Marraskuu 2024)
Puhutaan Nest-älykkään termostaatin turvallisuusvaikutuksista, ja suurin osa ihmisistä todennäköisesti vain kehittää olkiaan. He olettavat, että koska termostaatti ei pääse rahasi tai polttaa taloa, hyökkääjä ei häiritse sitä. Black Hat -tapahtumassa tänä vuonna juontajat Yier Jin, Grant Hernandez ja Daniel Buentello osoittivat, että termostaatti voi tehdä uskomattoman paljon.
Nestissä on joitain turvaturvallisuuksia, ja juontajat tekivät kohtaan antaa Nestille tunnustusta yrityksen työstä. "Se on erittäin hyvin suunniteltu, ja meidän pitäisi kiittää heidän työstään", sanoi Jin. Hän seurasi nopeasti ryhmänsä työtä: "Analyysimme perusteella olemme keksineet laitteisto-takaoven ja tämän takaoven kautta voimme saada kaukosäätimen koko laitteelle."
Pesemällä
Mielenosoituksessaan joukkue pääsi pesään USB: n kautta ja juurtui se noin 15 sekunnissa. Heidän hyökkäys oli riippuvainen virheenkorjausjärjestelmästä, jonka Nest tarkoituksella jätti laitteeseen. Esittelijät huomauttivat, että tämä on todella sulautettujen laitteiden valmistajien yleinen käytäntö.
Kun Pesän fyysistä painiketta pidetään 10 sekunnin ajan, laite käynnistyy uudelleen. Mutta sekunnin ajaksi on saatavana uusia ohjeita käynnistykseen. Ryhmä loi mukautetun työkalun, joka muodostettiin suoraan Nest-ohjelmaan, kun se kytkettiin suoraan Nest-ohjelmistoon.
Vaikka heidän hyökkäyksensä vaatii fyysistä pääsyä, nopeus, jolla se suoritettiin, oli huomattava. Hyökkääjä voi ajatella haltuunsa Pesän, kun sen omistaja astui hetkeksi ulos huoneesta. He huomauttivat myös, että hyökkääjät voivat vain ostaa Nest-laitteita, tartuttaa ne ja lähettää sitten takaisin myymälään, jossa ne myydään edelleen.
Ja älä usko, että Nestin päivitykset voisivat auttaa: tutkijat kertoivat kehittäneensä tavan tartunnan saaneille laitteille piilottaa tiedostot firmware-päivityksiltä. Kevyemmällä nuotilla esittelijät osoittivat myös, että he voivat korvata Pesän tylsän ulkonäön animoiduilla taustoilla.
Mitä väliä sillä on
Yksi Nestin tärkeimmistä toiminnoista - todellakin sen myyntipiste - on, että se oppii lämmitys- ja jäähdytysasetuksesi. Näiden tietojen avulla se optimoi kodin lämpötilan tarpeidesi mukaan ja säästää rahaa. Mutta juontajat huomauttavat, että tämä antaa hyökkääjälle paljon tietoa tottumuksistasi. Esimerkiksi vaarannettu Nest tietää, kun olet poissa talosta tai lomalla. Tietoja voidaan käyttää tulevaisuuden digitaalisiin hyökkäyksiin tai yksinkertaisesti murtovarkauksiin.
Nest tietää myös verkon käyttöoikeustiedot ja likimääräisen sijainnin. Mutta kaikkein huolestuttavampaa vioittuneen pesän käyttö olisi rantapää muille hyökkäyksille. Buentello kertoi, että jos hänellä olisi hallinta tartunnan saaneessa pesässä jonkun kotona, "tunnelin kaiken liikenteesi läpi, nuuskaten mitä löysin." Tämä sisältää salasanat, luottokorttinumerot ja muut arvokkaat tiedot.
Niin pelottava kuin heidän esittelynsä, se vaati edelleen hyökkääjää pääsemään fyysisesti Nest-termostaattiin. Mutta tutkijat vakuuttivat yleisölle, että heidän on vaikea työskennellä tutkiessaan laitteen ohjelmistoprotokollia, kuten Nest Weave, joka heidän mielestään mahdollistaa etäkäytön.
Mutta pahinta, esittelijät sanoivat, ettei uhri voi kertoa tartunnan saaneestaan. Loppujen lopuksi et voi ladata virustorjuntaa termostaattiin.
yksityisyys
Pesän hakkerointi oli erittäin hauska demonstraatio, mutta esittelijät olivat pääosin huolissaan yksityisyydestä. He huomauttivat, että Nest-käyttäjät eivät voi poistua tiedonkeruusta. On myös mahdollista, että Nest-laitteet ovat jopa enemmän kuin luulemme. "Miksi helvetissä minun termostaatti tarvitsee 2 gigatavua", kysyi Buentello. "Mitä se tekee?"
Vaikka tutkijat suhtautuivat kriittisesti Nestin päätökseen sisällyttää USB-takaovi, he huomauttavat, että yksityisyyttä ajattelevat ihmiset voivat sitä todella käyttää estämään Nestiä keräämästä käyttäjätietoja. Neljäs tutkimusryhmän jäsen työskentelee ahkerasti mukautetun laiteohjelmistopäivityksen parissa, joka hyödyntää ryhmän löytämiä haavoittuvuuksia. Niiden mukautettu korjaustiedosto estää Nestiä keräämästä tietoja, mutta antaa kuitenkin Nestin toimia normaalisti - jopa vastaanottaessa päivitettäviä lentoja.
Nestin aseman takia IOT-laitteiden julistelapsena joukkue esitti yleisölle mielenkiintoisen kysymyksen: jatkavatko he edelleen Nestin käyttöä kotona? Tutkijoiden mukaan tekemämme toimet ja päätökset siitä, mitä pidämme sulautettavissa laitteissa sallittavana, voivat asettaa normin seuraavalle 30 vuodelle.
Valitse viisaasti.