אבטחתIoT - התגלו פגיעויות ב-3 מכשירי הבית החכם
מאת:
מערכת Telecom News, 27.4.20, 11:20
מומלץ למשתמשים, שלא עדכנו בעבר (ב-2018) תיקונים של הפגיעויות או לא קנו דורות חדשים יותר של המכשירים שיוצרו מחדש לאחר שהתגלו בהם פגיעויות שלא היה אפשר לתקן, לעדכן המכשירים לגרסאות עדכניות כדי למזער חשיפה לסיכונים.
חוקרי חברת אבטחת המידע
ESET מצאו מספר פגיעויות אבטחה ב-3 דגמים של מכשירים לבתים חכמים:
Fibaro Home Center Lite,
HomeMatic Central Control Unit (CCU2) ו-
eLAN-RF-003.
חלק מהליקויים מאפשרים לתוקף:
לבצע מתקפות
MitM (
Man-in-the-middle),
להאזין לקורבנות,
ליצור דלתות אחוריות,
להשיג גישה מלאה למכשירים והתוכן שלהם.
במקרים הכי גרועים התוקף יכול גם לשלוט במכשירים נוספים הקשורים ומחוברים למכשירים עם הפגיעות.
החוקרים דיווחו לספקים, ששיחררו תיקונים לרובם כבר ב-2018. פרסום המאמר התעכב בעקבות התמקדות
במחקר על פגיעויות שעדיין פעילות.
הדרישה המוגברת לאבטחת
IoT מחדדת את הצורך להמליץ לבעלי המכשירים המושפעים לבצע את העדכונים האחרונים של המכשירים במטרה לחזק את האבטחה ולהקטין את החשיפה להתקפות חיצוניות.
עם זאת, עם הדרישה המוגברת הנוכחית לאבטחת
IoT, משוחרר כאו אוסף זה של ממצאים ישנים
כדי להמליץ עוד יותר לכל בעלי המכשירים המושפעים להחיל את העדכונים האחרונים על המכשירים שלהם כדי להגדיל את האבטחה שלהם ולהקטין את החשיפה להתקפות חיצוניות.
אונדרה קובוביק, מומחה אבטחה ומודעות בחברת אבטחת המידע
ESET: "מצאנו, שפגיעויות אבטחה במכשירי
IoT הן בעיה נפוצה. המחקר מוכיח, שפגמים בהגדרות, חוסר בהצפנה או אימות אינם בלעדיים למכשירים זולים אלא הם קיימים גם בחומרה מתקדמת".
אחד המכשירים הפגיעים שנמצאו הוא
Fibaro Home Center Lite: בקר אוטומציה ביתית, שנועד לשלוט במגוון רחב של מכשירים בבית חכם. בדיקה מקיפה של המכשיר חשפה פגיעויות חמורות, שעלולות לפתוח את הדלת בפני תוקפים חיצוניים. שילוב אחד של הפגמים אפילו איפשר לתוקף ליצור דלת אחורית המאפשרת להתחבר מרחוק באמצעות חיבור
SSH ולקבל שליטה מלאה על המכשיר הנבחר. לאחר הדיווח, הבעיה תוקנה ע"י היצרן.
מכשיר נוסף -
CCU2 Homematic, יחידה מרכזית במערכת הבית החכם של חברת
eQ-3 - הציג פגם אבטחה חמור המאפשר לתוקף להריץ קוד מרחוק עם הרשאות מנהל מערכת, ללא אימות המשתמש (
RCE). לפגיעויות במכשיר השלכות חמורות על האבטחה בכך, שהן איפשרו לתוקפים לקבל גישה מלאה למכשירי
CCU2 Homematic, ובאופן פוטנציאלי גם למכשירים מחוברים נוספים באמצעות מספר פקודות, שמשתמשות לרעה בפגיעות
RCE. לאחר הדיווח, הבעיה תוקנה ע"י היצרן.
המכשיר הפגיע השלישי היה תיבת
RF חכמה,
eLAN-RF-003, שתוכננה כיחידה מרכזית בבית חכם, מה שמאפשר למשתמש לשלוט במגוון מערכות ביתיות באמצעות אפליקציה המותקנת במכשירי הלקוח כמו סמארטפון, שעון חכם, טאבלט או טלוויזיה חכמה.צוות חוקרי החברה בדק את המכשיר ביחד עם 2 התקנים היקפיים מאותו יצרן - נורת
LED אלחוטית ניתנת לעמעום ושקע ניתן לעמעום. תוצאות הבדיקה העלו, שחיבור המכשיר לאינטרנט, או אפילו הפעלתו ברשת
LAN עלולה להיות מסוכנת. הסתבר, שהיה אימות פקודות לא מספק, שאפשר לבצע את כל הפקודות ללא התחברות ואימות או תקשורת רדיו עם התקנים היקפיים החשופה להקלטות וביצוע חוזר.
הספק תיקן חלק מהפגיעויות ואז התמקד בפיתוח דורות חדשים יותר של המכשיר.
המאמר המלא -
כאן.