Błąd projektowy w inteligentnym zamku dobrze ilustruje problemy, z którymi zmagają się producenci urządzeń Internetu Rzeczy.
Konsultanci bezpieczeństwa firmy F-Secure odkryli lukę w inteligentnym zamku, która pozwala atakującym przejąć kontrolę nad urządzeniem. Brak możliwości aktualizacji oprogramowania zamka oznacza, że nie jest i nie będzie możliwe całkowite naprawienie podatności. Pokazuje to równocześnie, z jakimi trudnościami zmagają się zarówno producenci, jak i użytkownicy coraz popularniejszych urządzeń IoT.
KeyWe Smart Lock to inteligentny zamek używany głównie przez osoby prywatne, który pozwala im otwierać i zamykać drzwi za pomocą aplikacji mobilnej w smartfonie. Konsultanci bezpieczeństwa firmy F-Secure odkryli, że błąd w protokole komunikacyjnym pozwala na przechwycenie hasła używanego do sterowania urządzeniem.
– Producent zamka zastosował kilka różnych mechanizmów ochrony użytkowników, jednak błąd popełniony został już na etapie projektowania. Jego wykorzystanie pozwala atakującemu przechwycić i odszyfrować wiadomości wysyłane pomiędzy aplikacją mobilną a urządzeniem, co pozwala na przejęcie kontroli nad oprogramowaniem zamka. Jako że atak jest stosunkowo łatwy do przeprowadzenia, a wyeliminowanie podatności niemożliwe, istnieje realne zagrożenie wykorzystania luki przez włamywaczy – mówi Krzysztof Marciniak z F-Secure Consulting, konsultant bezpieczeństwa który zajmował się analizą zamka. – Atakujący potrzebują jedynie nieco wiedzy technicznej, urządzenia do przechwytywania ruchu Bluetooth Low Energy (do kupienia za około 30 zł) i trochę czasu, by przechwycić komunikację.
Opisany atak jest kolejnym przykładem wyzwań, które napotykają producenci i użytkownicy coraz popularniejszych inteligentnych urządzeń. Przewiduje się, że do 2025 roku 125 miliardów urządzeń będzie podłączonych do Internetu.[i] Upowszechnienie tego rodzaju sprzętu oznacza jednak, że coraz częściej występować będą problemy związane z jego bezpieczeństwem.
W zamku zastosowano mechanizmy zwiększające bezpieczeństwo (między innymi szyfrowanie wiadomości) w celu uniemożliwienia niepowołanego dostępu do informacji. Zabezpieczenia obejmują również hasło, które wykorzystywane jest do sterowania zamkiem. Pomimo tego, badaczom z F-Secure Consulting udało się znaleźć stosunkowo prosty sposób, by ominąć te zabezpieczenia. Jako że nie jest możliwe zaktualizowanie oprogramowania urządzenia, właściciele zamków mogą jedynie wymienić je lub zaakceptować fakt, że mogą stać się ofiarą ataku.
– Zabezpieczenia sprawdzają się jedynie wtedy, gdy są odpowiednio zaimplementowane – zwraca uwagę Marciniak. – Projektując tego rodzaju rozwiązania, należy przeanalizować model zagrożeń, które mogą dotknąć użytkowników. Uwzględnić potencjalnych atakujących, najbardziej zagrożone komponenty i inne czynniki wpływające na bezpieczeństwo. To nie jest proste, ale konieczne – zwłaszcza gdy producent nie przewiduje możliwości aktualizacji oprogramowania.
Użytkownikom zalecane jest również rozważanie konsekwencji stosowania inteligentnych urządzeń w swoich domach, a producentom – podjęcie współpracy z ekspertami z zakresu cyberbezpieczeństwa przy projektowaniu nowych produktów.
[i] Źródło: https://www.techradar.com/news/rise-of-the-internet-of-things-iot
