Nezabezpečeným kuchyňským zařízením mohou útočníci vzdáleně dávat příkazy, např. nechat ohřát vodu ve varné konvici.
Avast, světový lídr v oblasti zabezpečení digitálních zařízení pro domácnosti a firmy, dnes odhalil výsledky svého nového experimentu, který se zaměřil na zranitelnost chytrých zařízení včetně veřejných kamer ve Španělsku a zejména v Barceloně. Avast odhalil, že ve městě je více než 22 000 webových kamer a dětských chůviček, které mohou útočníci snadno napadnout a zneužít třeba tak, že z nich budou vysílat živá videa na internetu. Experiment dále identifikoval přes 493 000 chytrých zařízení v Barceloně a 5,3 milionu v celém Španělsku – včetně chytrých ledniček, termostatů, varných konvic, kávovarů, garážových dveří a dalších zařízení – která jsou připojená k internetu a náchylná k útokům.
Se zranitelností webových kamer a dalších IoT zařízení souvisí řada bezpečnostních a právních otázek. Slídilové mohou snadno sledovat návštěvníky veletrhu a obyvatele Barcelony v soukromí nebo na veřejných prostranstvích a vysílat na internetu živá videa nebo dokonce zařízení proměnit v bot. Pokud jsou zranitelných zařízení stovky či tisíce, mohou hackeři vytvořit tzv. botnet a následně shodit servery a webové stránky. V případě, že je zařízení nakažené, může být snadno zneužito k nakažení jiných zařízení, přidáno k botnetu nebo nad nimi mohou útočníci převzít kontrolu a poškodit tak jejich majitele. Příkladem jsou kuchyňská zařízení, kterým útočníci mohou vzdáleně dávat příkazy, např. nechat ohřát vodu ve varné konvici.
Výrobci chytrých zařízení také shromažďují a ukládají osobní data uživatelů, včetně podrobností o jejich chování i údaje o kreditních kartách, což jsou informace, které se mohou dostat do rukou kyberútočníků. Tento problém se samozřejmě nevztahuje pouze na Barcelonu, která tento týden na MWC 2017 hostí tisíce top manažerů ze světa mobilních technologií.
Avast prostřednictvím experimentu zjistil, že ve Španělsku:
je přes 5,3 milionu zranitelných chytrých zařízení (v samotné Barceloně jich pak je více než 493 000),
lze napadnout více než 150 000 webových kamer (v Barceloně konkrétně více než 22 000),
je přes 79 000 chytrých varných konvic a kávovarů náchylných k útokům,
využívá více než 444 000 zařízení síťového protokolu Telnet, což je stejný typ, který byl zneužit v rámci tzv. Mirai botnetu. Ten v loňském roce zaútočil na firmu Dyn a zapříčinil pád webových stránek společností Twitter, Amazon, Reddit a další.
Experiment Avastu vznikl ve spolupráci se společností Shodan.io, která se specializuje na vyhledávání IoT zařízení. Mimo jiné ukázal, jak jednoduché je oskenovat na internetu IP adresy a porty a zjistit IP adresu zařízení. A s trochou šikovnosti dokáží útočníci vyčíst i konkrétní typ zařízení, značku, model a používanou verzi softwaru.
“Díky veřejně dostupným databázím, které obsahující obecně známé zranitelnosti, nepotřebují mít útočníci speciální znalosti, ani vynakládat velké úsilí na to, aby zjistili, která zařízení lze snadno napadnout,” popsal Vince Steckler, generální ředitel Avastu. I když jsou zařízení chráněna heslem, útočníci obvykle zkouší nejběžnější uživatelská jména a hesla, dokud se jim nepodaří je prolomit.”
Pokud se tento vážný problém nebude řešit, bude se s rostoucím počtem zařízení připojených k internetu jen zhoršovat.
“Pokud jsou webové kamery nastaveny na vysílání živých videí, útočníci se mohou snadno připojit a špehovat tak návštěvníky veletrhu nebo třeba i žáky škol a další obyvatele města bez jejich vědomí,“ doplňuje Vince Steckler.“ Již teď se z hlediska ochrany soukromí pohybujeme na tenkém ledě, nicméně mnohem více pravděpododné je, že útočníci napadnou nezabezpečenou webovou kameru, chytrou televizi nebo třeba kávovar a promění ji v bot, který může být jako součást většího botnetu využit při koordinovaných útocích na servery, které následně dokáží shodit velké webové stránky. V budoucnu možná uvidíme případy, kdy zločinci zneužijí IoT zařízení nic netušících uživatelů a získají jejich osobní údaje včetně těch finančních.”