Πριν λίγο καιρό μιλούσαμε για το κενό ασφαλείας που βρέθηκε σε μια έξυπνη λεκάνη. Το κενό αυτό, στην χειρότερη περίπτωση, δημιουργούσε κάποιες δυσάρεστες καταστάσεις στους ιδιοκτήτες της επίμαχης λεκάνης. Τα πράγματα όμως δυστυχώς από τότε έχουν σοβαρέψει.
Στις 16 Ιανουαρίου, η εταιρεία Proofprint εξέδωσε μια περίεργη ανακοίνωση1. Η ανακοίνωση αποκάλυπτε την ύπαρξη ενός κακόβουλου δικτύου το οποίο την περίοδο 23 Δεκεμβρίου και 6 Ιανουαρίου έστειλε πάνω από 750.000 spam μηνύματα, με στόχο απλούς χρήστες αλλά και επιχειρήσεις. Το περίεργο με αυτό το δίκτυο ήταν πως αποτελούνταν κατά 25% από συσκευές όπως οικιακοί routers, media centers, έξυπνες τηλεοράσεις και τουλάχιστον ένα... ψυγείο.
Οι έξυπνες συσκευές έχουν γίνει πλέον ένας από τους αγαπημένους στόχους ασφαλείας. Ένας από τους λόγους είναι πως στο λογισμικό τους δεν υπάρχει η έννοια της διαστρωμάτωσης των δικαιωμάτων, έτσι συνήθως ένα κενό ασφαλείας δίνει πλήρη πρόσβαση σε όλες τις λειτουργίες της συσκευής.
Το καλοκαίρι του 2013 στο συνέδριο Blackhat, δυο ερευνητές ασφαλείας, ο Josh Yavor και ο Aaron Grataffiori έδειξαν πώς μια Samsung Smart TV μπορεί να χρησιμοποιηθεί ως εργαλείο παρακολούθησης2. Η επίθεση τους ήταν πάρα πολύ απλή: η εφαρμογή για το skype (που είχε αναπτύξει η Samsung) δεν διάβαζε σωστά τα μηνύματα που έβαζαν οι χρήστες στο status τους, έτσι κάποιος μπορούσε να βάλει σαν status κώδικα javascript, ο οποίος εκτελούνταν από οποιαδήποτε τηλεόραση τύχαινε να έχει τον εν λόγω χρήστη στις επαφές του skype. Ο κώδικα αυτός javascript κατέβαζε ένα αρχείο, το οποίο άνοιγε την ενσωματωμένη κάμερα και μικρόφωνο της τηλεόρασης και μετέδιδε την εικόνα και τον ήχο σε κάποιον τρίτο.
Φαίνεται λοιπόν πως όσο πιο έξυπνο γίνεται το σπίτι μας, τόσο πιο πολλοί οι κίνδυνοι για την διαδικτυακή μας ασφάλεια.
Παραπομπές
Στις 16 Ιανουαρίου, η εταιρεία Proofprint εξέδωσε μια περίεργη ανακοίνωση1. Η ανακοίνωση αποκάλυπτε την ύπαρξη ενός κακόβουλου δικτύου το οποίο την περίοδο 23 Δεκεμβρίου και 6 Ιανουαρίου έστειλε πάνω από 750.000 spam μηνύματα, με στόχο απλούς χρήστες αλλά και επιχειρήσεις. Το περίεργο με αυτό το δίκτυο ήταν πως αποτελούνταν κατά 25% από συσκευές όπως οικιακοί routers, media centers, έξυπνες τηλεοράσεις και τουλάχιστον ένα... ψυγείο.
Οι έξυπνες συσκευές έχουν γίνει πλέον ένας από τους αγαπημένους στόχους ασφαλείας. Ένας από τους λόγους είναι πως στο λογισμικό τους δεν υπάρχει η έννοια της διαστρωμάτωσης των δικαιωμάτων, έτσι συνήθως ένα κενό ασφαλείας δίνει πλήρη πρόσβαση σε όλες τις λειτουργίες της συσκευής.
Το καλοκαίρι του 2013 στο συνέδριο Blackhat, δυο ερευνητές ασφαλείας, ο Josh Yavor και ο Aaron Grataffiori έδειξαν πώς μια Samsung Smart TV μπορεί να χρησιμοποιηθεί ως εργαλείο παρακολούθησης2. Η επίθεση τους ήταν πάρα πολύ απλή: η εφαρμογή για το skype (που είχε αναπτύξει η Samsung) δεν διάβαζε σωστά τα μηνύματα που έβαζαν οι χρήστες στο status τους, έτσι κάποιος μπορούσε να βάλει σαν status κώδικα javascript, ο οποίος εκτελούνταν από οποιαδήποτε τηλεόραση τύχαινε να έχει τον εν λόγω χρήστη στις επαφές του skype. Ο κώδικα αυτός javascript κατέβαζε ένα αρχείο, το οποίο άνοιγε την ενσωματωμένη κάμερα και μικρόφωνο της τηλεόρασης και μετέδιδε την εικόνα και τον ήχο σε κάποιον τρίτο.
| H παρουσίαση των Yavor και Grataffior στο Blackhat 2013 |
Φαίνεται λοιπόν πως όσο πιο έξυπνο γίνεται το σπίτι μας, τόσο πιο πολλοί οι κίνδυνοι για την διαδικτυακή μας ασφάλεια.
Παραπομπές
- Proofpoint, "Proofpoint Uncovers Internet of Things (IoT) Cyberattack", 16 Ιαν. 2014, [online] Τελευταία πρόσβαση 20 Ιαν. 2014
- J. Yavor, A. Grataffior"The Outer Limits: Hacking the Samsung Smart TV", Black Hat 2013
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου