TOP 10 łatwych do zhackowania inteligentnych domowych urządzeń

Coraz więcej producentów stara się pokazać gadżety mogące być kontrolowane przez telefon, brak im jednak doświadczenia w konstruowaniu aplikacji, przez co pozostawiają w programach sterujących luki. Hackerzy czują się zaproszeni do Waszych domów. Szkodliwość przeprowadzanych ataków jest różna – może sprowadzać się „tylko” do uprzykrzania życia lub poważnie zagrozić prywatności (a nawet bezpieczeństwu) domowników.

10. Termostat

Inteligentne sterowniki klimatyzacji potrafią dostosować temperaturę panującą w domu do oczekiwań użytkownika, robiąc to automatycznie – na podstawie wprowadzonych preferencji – bądź dając się sterować przez sieć lokalną lub internet.

Jak się okazało, niektóre z urządzeń nie wymagały podczas zdalnego logowania podawania hasła. Do panelu sterującego mógł więc dostać się każdy zainteresowany, a swoimi działaniami mógł przygotować mieszkańcom prawdziwe piekło.

Wyobraźcie sobie sytuację, w której wracacie do domu po dniu pracy i wita Was temperatura oscylująca wokół 40 stopni Celsjusza. Doprowadzenie sytuacji do normy wymagałoby dużo czasu i udałoby się tylko wtedy, gdy atakujący zrezygnowałby z wprowadzania swoi komend.

Hacker mógłby też zachowywać się w sposób bardziej dyskretny, polując nie na nasze samopoczucie, lecz starając się wydrenować portfel – wystarczyłoby, żeby naprzemiennie nakazywał ogrzewanie do wysokiej temperatury, a potem ochładzanie mieszkania, żeby rachunek za elektryczność wzrósł znacząco.

Włamanie do termostatu stwarza zagrożenie nie tylko dla mieszkańców domu – jak wykazały symulacje, zintensyfikowanie poboru energii przez tysiące przejętych urządzeń mogłoby doprowadzić nawet do awarii sieci przesyłowych.

9. Żarówka

Załóżmy, że termostat oparł się atakom hackerów. Po wejściu do domu włączamy inteligentny system oświetleniowy ze sterowanymi bezprzewodowo żarówkami i... coś jest nie tak.

Oświetlenie samo zmienia kolor i intensywność, bombardując niekończącym się kalejdoskopem barw i zmieniając się co parę chwil w stroboskop, co skutkuje zdezorientowaniem mieszkańców.

Jedynym sposobem na powstrzymanie ataku jest wykręcenie żarówek. Na jakiś czas pomoże zmiana hasła do domowej sieci bezprzewodowej, jednak to właśnie błąd w komunikowaniu się inteligentnego oświetlenia z programem sterującym pozwolił hackerowi zdobyć hasło do Wi-Fi i przejąć kontrolę nad żarówkami.

Wariujące oświetlenie było więc w tym przypadku tylko czubkiem góry lodowej – atakujący (muszący przebywać w zasięgu sieci bezprzewodowej) mógł łączyć się z wszystkimi urządzeniami podłączonymi do Wi-Fi i przeglądać zapisane na nich dane.

8. Toaleta

Bardzo często zdarza się, że po wejściu do domu pierwsze kroki mieszkańców kierowane są do łazienki. Nie zawsze jednak chęć uregulowania potrzeby fizjologicznej zakończy się bezstresowo.

Ten kłopot dotyczy raczej obywateli państwa azjatyckich, których toalety potrafią zdecydowanie więcej niż proste, analogowe muszle klozetowe używane w Europie. Technologiczne i tradycyjne wodotryski niosą jednak ze sobą możliwość znacznego uprzykrzenia życia osoby próbującej załatwić potrzebę.

Producent jednej z inteligentnych toalet zaprogramował niezmienialny pin pozwalający na połączenie się z urządzeniem przez Bluetooth – brzmiał on „0000”. Z tego powodu każdy, kto znajdował się w zasięgu sygnału, mógł w dowolnej chwili przejąc kontrolę nad funkcjami bidetu.

Wśród nich znajdowała się opcja spuszczenia wody, uruchomienia natrysku służącego do mycia strategicznych części ciała, włączenia nawiewu suszącego czy otwarcia lub zamknięcia klapy.

Uruchamiająca się sama z siebie w pustym pomieszczeniu toaleta mogłaby wzbudzić wystarczająco dużo nerwów, włączanie się różnych funkcji podczas korzystania z muszli to już prawdziwa tortura dla użytkownika.

Atakujący mógłby użyć kontroli nad toaletę do zwiększenia rachunku za wodę – wystarczyłoby, żeby raz za razem wysyłał komendę spuszczenia wody. Mógłby to robić zautomatyzowany program.

7. Ekspres do kawy / bezprzewodowy czajnik

Po załatwieniu spraw w łazience przychodzi zazwyczaj czas na wizytę w kuchni i sięgnięcie po kawę lub herbatę. Dwa różne urządzenia – ekspres i elektryczny czajnik – zostały dotknięte przez te same luki w zabezpieczeniach.

Hackerzy nie mogą co prawda liczyć na przejęcie kontroli nad którymś z tych urządzeń, jednak sposób w jaki podłączają się one do domowej sieci bezprzewodowej pozwala na odtworzenie dającego do niej dostęp hasła.

Inteligentny ekspres do kawy pozwala na zdalne zainicjowanie procesu parzenia, umożliwia sprawdzenie stanu urządzenia oraz informacji o konieczności wykonania czynności obsługowych. Zanim jednak będzie to możliwe, musi być najpierw podłączone do domowej sieci. To właśnie podsłuchanie komunikacji w czasie tego procesu umożliwia złamanie zabezpieczenia.

Jeśli zmienimy hasło Wi-Fi, potrzebna będzie ponowna konfiguracja urządzenia, co poskutkuje kolejnym wyciekiem danych. Użytkownik może tylko mieć nadzieję, że hacker nie będzie monitorował komunikacji non stop i nie zdoła zapisać informacji wysyłanych podczas zmiany.

Klucz zabezpieczeń zdradza też inteligentny elektryczny czajnik – w obu przypadkach atakujący otrzymuje dostęp do wszystkich urządzeń znajdujących się w sieci lokalnej oraz udostępnianych przez nie zasobów.

6. Lodówka

Inteligentne lodówki od lat działają na wyobraźnię, roztaczając wizje samodzielnego dokupywania żywności w miarę jego zużywania. Urządzenie mogłyby nawet przewidywać konieczność obsłużenia specjalnych okazji, takich jak urodziny czy wizyta znajomych i złożyć z wyprzedzeniem odpowiednie dyspozycje w sklepie internetowym.

O ile samodzielne kupowanie produktów przez lodówki wciąż pozostaje kwestią przyszłości, o tyle możliwość sprawdzenia wydarzeń i planu dnia jest dostępna już dziś, dzięki dostępowi do kalendarza Google.

Jak się okazało, obsługa szyfrowanego połączenia z internetem dotknięta była przez błąd umożliwiający przejęcie hasła do konta Google. Biorąc pod uwagę, jak wiele usług – stworzonych także przez firmy trzecie – wykorzystuje tę metodę uwierzytelniania, wpadnięcie hasła w ręce hackera może mieć poważne konsekwencje.

Nieco uspokajający może być fakt, że atakujący musi być podłączony do tej samej sieci lokalnej, co lodówka – a nie jest to proste do osiągnięcia. No chyba, że mamy w domu inteligentne żarówki lub ekspres do kawy...

5. Aparat fotograficzny

Przekąski i napój został przygotowany, czas więc zapoznać się ze zdjęciami zrobionymi podczas spaceru. Nowoczesne aparaty pozwalają na przesyłanie danych bezprzewodowo, przez co mogą być one przejęte przez hackerów.

Atakujący mogą nie tylko zapisać na swoich nośnikach przesyłane zdjęcia i filmy – część z aparatów pozwoli im nawet na przejęcie kontroli nad funkcjami fotografowania. Zagrożenie dotyczy więc nie tylko zdjęć już wykonanych, ale robionych przez atakującego w czasie, gdy aparat jest w domu.

Pozwala to poznać topologię mieszkania, jego wyposażenie, poznać liczbę mieszkańców oraz sprawdzać zdalnie (ale z zasięgu sieci Wi-Fi), czy dom jest aktualnie pusty.

Oprócz ułatwienia wybrania momentu do przeprowadzenia włamania inteligentne aparaty fotograficzne mogą posłużyć do znacznego naruszenia prywatności właściciela, który w swoim mieszkaniu może czuć się nad wyraz swobodnie przy wyborze noszonej (lub nie) garderoby.

4. Chromecast

Opracowane przez Google urządzenie pozwalające na bezprzewodowe przesyłanie obrazu do telewizora także okazało się być podatne na ataki hackerów. W tym przypadku nie ma co prawda mowy o wykradzeniu informacji, jednak i tak odnaleziona luka będzie mogła mocno dać się we znaki.

Odpowiednio przygotowana osoba może bowiem „porwać” odbiornik i zmusić go do wyświetlania na ekranie wybranych przez nią materiałów. Próby powrotu do seansu rozpoczętego przez mieszkańca domu skazane są na niepowodzenie – hacker będzie w stanie błyskawicznie powtórzyć manewr przejęcia.

Jedynym sposobem na poradzenie sobie z takim atakiem jest... wyłączenie Chromecasta i przeczekanie. Hacker musi znajdować się blisko, by móc połączyć się bezpośrednio z odbiornikiem i nakłonić od odtwarzania swojego (mniej lub bardziej nadającego się do oglądania) materiału. A mogą być to rzeczy, których lepiej sobie nie wyobrażać.

3. Hello Barbie

Skoro telewizor jest wyłączony, dlaczego nie pobawić się z dziećmi? Nowe, inteligentne zabawki pozwalają opracować wciągające scenariusze i nie dadzą nudzić się bawiącym szkrabom nawet wtedy, gdy zostaną same. 

Hello Barbie to lalka, która potrafi rozmawiać z dziećmi. Funkcja rozpoznawania mowy oraz ustalania odpowiedzi wymaga połączenia z internetem - interaktywna zabawka działa na takiej samej zasadzie, jak znana z iPhone'ów asystentka Siri czy stworzona przez Microsoft Cortana.

Niestety, komunikacja ta mogła zostać przechwycona. Nie trzeba było nawet szukać sposobów na połączenie się z siecią domową, wystarczyło stworzyć własny, odpowiednio skonfigurowany hotspot.

Aplikacja, która służyła do obsługi lalki Hello Barbie łączyła się automatycznie z każdą siecią, która była nazwana „Barbie”. To wystarczyło, żeby wydobyć z zabawki dużo prywatnych informacji.

Atakujący mógł przechwycić nagranie audio wykonane przez lalkę i poznać szczegóły dotyczące konta (w tym informacje o imieniu i dacie urodzenia dziecka).

Na szczęście producent zareagował szybko na doniesienia specjalistów i naprawił system, użytkownicy którzy zaktualizowali oprogramowanie nie mają się więc już czego obawiać.

2. Smart Toy Bear

Zabezpiecz jedną zabawkę, a na jej miejsce pojawią się dwie następne, które stanowić będą łatwy cel dla hackerów. Przeznaczony dla dzieli w wieku od 3 do 8 lat pluszowy miś Smart Toy Bear reklamowany jest jako „interaktywny przyjaciel, który mówi, słucha i pamięta odpowiedzi dziecka”.

Funkcje te realizowane są dzięki połączeniu z internetem przez Wi-Fi. Aplikacja dla rodziców służąca do zarządzania kontem okazała się być niedopracowana, pozwalając na otrzymanie nieautoryzowanego dostępu do danych przechowywanych na serwerach.

Pozwalało to hackerom na zdobycie informacji na temat rodziny, a to z kolei mogło ułatwić przeprowadzenie ataku mającego na celu wyłudzenie danych do logowania na konto bankowe (phishing).

Atakujący mogli także odsłuchać wszystkie „zapamiętane” przez misia wypowiedzi dzieci.

1. Elektroniczne nianie / kamery internetowe

Elektroniczne nianie to urządzenia dbające o spokojny sen rodziców. Ukierunkowana na łóżeczko z dzieckiem kamera pozwala w dowolnym momencie zdalnie sprawdzić, co dzieje się u latorośli. Można to robić będąc w sąsiednim pokoju, lub łącząc się z urządzeniem przez internet.

Tyle tylko, że producenci rzadko kiedy zawracali sobie głowę wprowadzeniem odpowiednich zabezpieczeń, popełniając przy tym znane już błędy ustawiania niemożliwych do zmienienia haseł administratora lub nie informując użytkowników o konieczności dokonania takiej zmiany.

W rezultacie wystarczyło poznać strukturę oprogramowania umożliwiającego zdalne połączenie się z kamerką, żeby adresy internetowe działającego sprzętu uzyskać wprost z wyszukiwarki Google. Mowa tu o tysiącach przypadkach kamer czekających tylko na dopuszczenie hackerów do transmitowanego obrazu.

Co gorsza, elektroniczne nianie pozwalają nie tylko zobaczyć, ale i usłyszeć dzieci – a także mogą przekazać wiadomość wypowiadaną przez rodziców lub przypadkowe osoby, które zyskały dostęp do kamer. W sieci można znaleźć relacje przerażonych ludzi, słyszących często niecenzuralne wypowiedzi adresowane do ich małych dzieci.

Podobne luki można znaleźć także w oprogramowaniu kamer internetowych. Żeby móc podglądać innych ludzi, nie trzeba nawet dysponować szczególnymi umiejętnościami – wystarczy wykupić dostęp do serwisu, który poda na tacy listę niezabezpieczonych urządzeń.