умный дом
Умный дом сегодня — это не фантастика из фильмов конца девяностых, а реальность практически каждого жителя мегаполиса. Умные розетки, колонки и телевизоры можно встретить практически в любой современной квартире. А что касается новых домов, то их иногда и вовсе сразу же строят умными, получаются умные жилые комплексы. Их жители могут с единого приложения управлять не только внутриквартирными приборами, но и внешними: домофоном, камерами, шлагбаумами, счетчиками и датчиками пожарной сигнализации.
Но что будет, если в таком приложении окажется дыра в безопасности? Ответ знают наши эксперты из Global Research and Analysis Team (GReAT). Мы обнаружили уязвимость в приложении Rubetek Home и рассказали, что могло бы случиться с безопасностью владельцев умных квартир и домов — но, к счастью, не случилось.
Что за уязвимость
Уязвимость заключалась в отправке чувствительных данных в процессе логирования работы приложения. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки при помощи Telegram-бота.
Проблема в том, что отправляемые файлы, помимо системной информации, содержали в себе персональные данные пользователей, а также, что более критично, Refresh-токены, необходимые для авторизации в аккаунте пользователя, чей токен был получен. У потенциальных атакующих была возможность переслать все эти файлы себе при помощи того же Telegram-бота. Для этого они могли получить его Telegram-токен и идентификатор нужного чата из кода приложения, а после перебрать порядковые номера сообщений, содержащих такие файлы.
В последнее время логирование событий через Telegram становится все более популярным. Получать уведомления о важных событиях в мессенджере — удобно и быстро. Однако такой подход требует осторожности: мы рекомендуем не пересылать конфиденциальные данные в логах приложения, и, к тому же, запретить копирование и пересылку контента из группы в настройках Telegram или использовать параметр protect_content при отправке сообщения через Telegram-бот.
Важное уточнение: мы связались с Rubetek сразу же, как только обнаружили уязвимость. На момент публикации материала уязвимость закрыта.
Потенциальные злоумышленники могли бы получить данные, которые отправлялись разработчику ото всех пользовательских приложений. Список этих данных поражает воображение:
- ФИО, мобильный телефон или email, и полный адрес объекта, подключенного к приложению.
- Список устройств, которые подключены к умному дому.
- Информация о событиях, которые фиксируют умные устройства (Снят ли дом с охраны? Заметен ли подозрительный шум на камерах?).
- Системная информация об устройствах внутри локальной домашней сети (MAC-адрес, IP-адрес, тип устройства).
- IP-адреса для подключения к камерам через протокол Web
- Снимки с умных камер и домофонов.
- Переписка пользователя с формой помощи.
- Токены, позволяющие получить новую сессию от аккаунта пользователя.
Причем, под угрозой могли оказаться пользователи приложений как на Android, так и на iOS.
Что будет, если злоумышленники на самом деле получат доступ к управлению умным домом?
Такой обширный набор данных, доступный злоумышленникам, потенциально позволял организовать полноценную слежку за человеком: узнать, кто и где живет, по каким дням не бывает дома. Зная расписание человека, злоумышленники могли бы попасть в квартиру, предварительно отключив камеры и другие охранные системы через приложение.
И если такой шаг точно был бы замечен любым жителем, то есть и другие, менее очевидные сценарии. Например, благодаря уязвимости злоумышленники могли бы получить доступ к умным устройствам и дистанционно менять цвета лампочек, температуру полов, бесконечно включать и выключать свет, нанеся владельцам квартир заметный финансовый ущерб.
Через найденную уязвимость злоумышленник мог бы устроить атаку не на одну квартиру или частный дом, а на несколько тысяч жителей жилого комплекса. Конечно, одновременное отключение пропускных систем не осталось бы незамеченным службами управления ЖК, но как скоро они бы поняли, в чем дело, и какие потери могли бы понести жильцы — открытый вопрос.
Как защитить умный дом
При этом стоит учитывать, что такие уязвимости могут быть обнаружены и в других приложениях для управления умным домом. При этом обычный пользователь, будучи одним из миллионов клиентов, практически не имеет шансов узнать, скомпрометировано приложение или нет. Поэтому при обнаружении малейших подозрений на взлом (новые люди в списке гостей, неавторизованные открытия и закрытия калиток и дверей и так далее) мы рекомендуем как можно скорее обратиться к администратору приложения и его поставщику.
Возвращаясь к более популярным сценариям, таким, как использование умных устройств в рамках одной, своей квартиры, где нет возможности обратиться к какому-либо администратору сети, мы рекомендуем следовать этим правилам безопасности.
- Защитите свой Wi-Fi-роутер: смените заводской пароль на более надежный, отключите WPS и включите шифрование WP2.
- Выделите отдельную Wi-Fi-сеть для устройств умного дома и установите на нее другой пароль. Современные роутеры позволяют поднимать «гостевые» сети, и тогда в случае взлома, например, умной люльки хакеры не получат доступ к вашим компьютерам и смартфонам.
- Регулярно проверяйте свою сеть на наличие посторонних устройств с помощью приложения Kaspersky Premium. Если все в норме, то Мониторинг умного дома покажет информацию только о ваших девайсах.
- Установите надежные пароли на каждое устройство. Запоминать их необязательно — с этим справится Kaspersky Password Manager.
- Регулярно обновляйте прошивки всех «умных» устройств, в том числе роутера.
А если вам интересно, какие еще могут быть риски при взломе умного дома и как обезопасить свое жилье от них, читайте эти материалы:
