Berta Sándor

Zsarolhatja a lakót a feltört okostermosztát

Biztonsági kutatók bemutatták, hogy mennyire könnyen manipulálhatók az okos hőszabályzók.

A Def Con konferencián Andrew Tierney és Ken Munro biztonsági kutató hívta fel a figyelmet arra, hogy lehetséges egy okostermosztát feltörése és az eszköz ráadásul még az adott ház lakóinak megzsarolására is felhasználható. A két szakember ehhez csupán egy olyan SD memóriakártyát alkalmazott, amelyen a felhasználók a saját hőmérsékleti beállításaikat tárolhatták. Tierney és Munro egy ilyen SD memóriakártyán megtalálták a készülék firmwarejét is és kiderítették, hogy az adott eszköz nem vizsgálja át a tárolt adatokat, mielőtt felhasználná azokat. Ezt az utat kihasználva sikerült rosszindulatú kódot becsempészniük a termosztátba, majd teljes mértékben átvenni az irányítást a hőszabályzó felett.

A módosításnak köszönhetően lehetővé válhat télen a fűtés kikapcsolása vagy nyáron a fűtés maximális fokozatra állítása. Emellett lehetséges egyszerre fűteni és hűteni is, amivel meglehetősen komoly áramszámla okozható vagy a fűtési funkció gyors ki- és bekapcsolásával is kellemetlenséget lehet okozni. A kutatóknak sikerült egy zsarolóvírust feltelepíteniük a termosztátra. A program egészen addig nem hagyja a hőmérsékletet megváltoztatni, amíg a felhasználó ki nem fizette a követelt összeget. A szakemberek közölték, hogy már az olyan egyszerű védelmi mechanizmusok is elegendőek lettek volna a műveletük kivédésre, mint a firmware titkosítása, egy egyszerű tűzfal alkalmazása vagy az egy időben történő fűtést és hűtést megakadályozó megoldás használata.


A feltört termosztátra kiírták, hogy 1 bitcoint kérnek az irányítás visszaadásáért

Tierney és Munro célja csupán az volt, hogy felhívják a figyelmet a problémára vagyis a dolgok internetéhez (IoT) kapcsolódó eszközök rossz biztonsági helyzetére. A Motherboard arról számolt be, hogy a kutatóknak csak a konferencia előtt sikerült feltörniük a hőszabályzót, így még nem tudták értesíteni az érintett gyártót. A két férfi szerint egy olyan eszköz sebezhetőségét sikerült bizonyítani, amely támadási célpont lehet és amelyen keresztül személyes adatok is megszerezhetők. Azt remélik, hogy az ipar orvosolja a problémát még a valódi támadások bekövetkezése előtt. Mindenesetre megoldást jelenthet a nem okos hőszabályzók használata is.

Napjainkban teljesen szabályozatlan a dolgok internetének biztonsága. Pedig nagyon is fontosak lehetnek a hosszú távú biztonsági funkciók az IoT-eszközökben.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • esztyopa #11
    " Egyszerűen kiiktatom a termosztátot, és beteszek egy hagyományos tekergetőst. Arra mit lépnek? Ilyennel csak a hülyéket lehet zsarolni."

    Az egymillió dolláros kérdés:
    - akkor mi a f*sznak az *okostermosztát*?
    Addig,amig az okossz*rok biztonsága nem megfelelő,és kihasználva az emberi lustaságot MINDENT kikémlelnek Rólad /amivel gátlástalanul visszaélnek a gyártók,a magasabb profit érdekében. Valósággal *kiárulják*az egész életedet./
    Ki szeretne egy spionokkal telerakott okosotthonban élni?
    Ez a fejlődés zsákutcája ! Nincs semmi gyártói,szolgáltatói morál.
    /Eladják még a fingszámaidat is a puffadás elleni csodaszert gyártóknak/
    Ám aki villantani akar az ismerősei előtt - tegye...vegye !
  • Elmin #10
    "Elég barmok. Egyszerűen kiiktatom a termosztátot, és beteszek egy hagyományos tekergetőst. Arra mit lépnek? Ilyennel csak a hülyéket lehet zsarolni. "
    Aztán meg nézel, ha a tekergetős nem tudja vezérelni a kazánodat, vagy ha már addig tetemes számlát gyártottak.
  • Elmin #9
    "De nem is tudod elindítani távolról, hogy mire hazaérj meleg legyen... "
    Nem is kell elindítani távolról.
    Már vannak tényleg okos termosztátok, amit beprogramozol, mikor kapcsoljon be mikor milyen hőmérséklet legyen, ezek annyira okosak, hogy még internet sem kell a működésükhöz.
  • Ender Wiggin #8
    De nem is tudod elindítani távolról, hogy mire hazaérj meleg legyen...
  • Akva #7
    "A program egészen addig nem hagyja a hőmérsékletet megváltoztatni, amíg a felhasználó ki nem fizette a követelt összeget."

    Elég barmok. Egyszerűen kiiktatom a termosztátot, és beteszek egy hagyományos tekergetőst. Arra mit lépnek? Ilyennel csak a hülyéket lehet zsarolni.
  • bunny #6
    Mr. Robot egy vagy két epizóddal ezelőtti része?
    Egyébként pedig komoly gond ez, lásd laptoppal vihető autók, ahol szintén szartak a biztonságra, IOT eszközök szintúgy. De gyanítom az okos eszközök (tévé pl) se védettek igazán.
  • Alexease #5
    Akit egy termosztat megtud dzsarolni, az meg is erdemli:DDD
  • M2 #4
    Tán a gyufa ingyé van?
  • mcmoha #3
    Én egy szál gyufával irányítom a kazánom és 25 éve mőködik. Még sose kért bitcoint. :D
  • Ender Wiggin #2
    Ennél jobb megoldásnak tűnik a SIM-kártyás kazán, amit sms-sel lehet irányítani...