Atacurile cibernetice asupra dispozitivelor inteligente ar putea pune în pericol și securitatea fizică a utilizatorilor

28

Utilizatorii dispozitivelor smart își riscă nu doar intimitatea, ci chiar siguranța fizică, arată o investigație recentă a specialiștilor în securitate cibernetică ai Bitdefender. Un model popular de priză inteligentă este expus riscului unor actualizări cu software periculos și poate fi controlat de la distanță, conform cercetării.

 

Dispozitivul vulnerabil este o priză electrică inteligentă care le permite utilizatorilor să pornească sau să oprească alimentarea cu energie electrică direct de pe ecranul telefonului. Priza poate fi folosită pentru a alimenta orice fel de aparat care necesită conectarea la o sursă de alimentare electrică – sisteme de alarmă, aparatură medicală, camere de supraveghere, senzori de fum, termostate, televizoare smart, etc.

 

Cercetarea arată că atacurile cibernetice care vizează dispozitive inteligente nu se mai limitează doar la prejudicii materiale sau la încălcarea drepturilor fundamentale ale omului prin accesarea datelor personale până la cel mai mic detaliu, ci pot pune în pericol viaţa și integritatea corporală prin oprirea funcționării acestora.

 

Principalele vulnerabilități identificate sunt legate de proceduri de autorizare și autentificare insuficiente, care permit modificarea parolei dispozitivului, injectarea de cod periculos și, ulterior, controlarea de la distanță a acestuia. Astfel, atacatorii pot nu doar ajunge în rețeaua de internet a victimelor, de unde să colecteze date personale și parole, ci chiar să oprească alimentarea cu energie electrică. În cazul anumitor dispozitive, sistarea alimentării cu energie conduce la oprirea dispozitivului, ceea ce poate cauza inclusiv pagube materiale sau vătămări corporale.

 

Spre deosebire de alte vulnerabilități ale dispozitivelor inteligente identificate anterior, acest tip de atac poate fi orchestrat de oriunde din lume. Practic, atacatorul nu trebuie să se mai afle în aceeași rețea de internet în care e conectat dispozitivul, ci îl poate controla cu ușurință de la distanță sau chiar crea rețele de botneți (dispozitive controlate de răufăcători pentru a răspândi spam și a instala amenințări pe alte calculatoare)”, spune Alexandru Bălan, Chief Security Researcher al Bitdefender.

 

Sfaturi pentru utilizatori

Cercetarea le reamintește utilizatorilor riscurile de securitate pe care Internetul Lucrurilor le aduce, dat fiind că exploatarea anumitor vulnerabități poate avea consecințe serioase nu doar legate de confidențialitate, ci și legate de siguranța fizică.

 

Numărul dispozitivelor conectate la Internet a depășit nivelul de patru miliarde de unități la finele anului 2015, iar industria va continua să se dezvolte într-un ritm alert pe fondul plusului de confort oferit utilizatorilor.

 

În luna martie, specialiștii Bitdefender au analizat alte patru dispozitive inteligente populare, cu peste 150.000 de clienți la nivel global, și au reușit să controleze gadgeturile, fără cunoștința proprietarului: WeMo Switch (dispozitiv care folosește o rețea Wi-Fi ca să controleze televizoare, becuri, boxe, termostate, etc.), Lifx (bec inteligent controlat prin Wi-Fi), MUZO Cobblestone Wi-Fi Audio Receiver (sistem audio care redă muzica de pe smartphone sau tabletă) și Link Hub (consolă cu două becuri electrice care permite administrarea sistemului de iluminat). Rezultatele au fost publicate în raportul „Internet of Things. Riscuri în locuințele conectate”.

 

Politica de comunicare a vulnerabilităților

Bitdefender a anunțat producătorul dispozitivului despre rezultatele cercetării. Vulnerabilitățile identificate de către specialiștii în securitate cibernetică au fost comunicate în concordanță cu politica Bitdefender de notificare și dezvăluire a vulnerabilităților. Potrivit acesteia, furnizorii sunt înștiințați în scris despre descoperiri și sunt încurajați să remedieze erorile și defecțiunile din produsele semnalate. La 30 de zile după comunicarea inițială, rezultatele cercetării sunt transmise publicului larg. Producătorul a promis remedierea vulnerabilității în trimestrul al treilea din 2016.