Avast обнаружила уязвимости в умных домах
Новое исследование компании Avast (LSE: AVST), показало, что более 49 000 сетевых протоколов MQTT общедоступны в Интернете из-за некорректной конфигурации. Среди них более 32 000 серверов, которые не защищены паролем. В России под угрозой утечки данных оказалось 703 сервера.
Протокол MQTT используется для подключения к устройствам умных домов и управления ими через центр управления умным домом. Пользователи настраивают сервер при установке протокола MQTT. Сервер обычно функционирует на компьютере или миникомпьютере пользователя, таком как Raspberry Pi, к которому устройства могут подключаться и взаимодействовать.
Хотя сам протокол MQTT является защищенным, могут возникнуть серьезные проблемы с безопасностью, если он развернут и настроен неправильно. Киберпреступники могут получить полный доступ к дому, чтобы узнать, когда их владельцы находятся дома, управлять мультимедийными системами, голосовыми помощниками и бытовыми устройствами, а также проверять, закрыты ли умные двери и окна. При определенных условиях они могут даже отслеживать местонахождение пользователя, что может быть серьезной угрозой конфиденциальности и безопасности.
«Получить доступ к умному дому и управлять им пугающе легко. По-прежнему существует много устаревших и слабо защищенных протоколов, созданных в то время, когда безопасность не была такой острой проблемой, — отметил Мартин Хрон, специалист по безопасности компании Avast. — Пользователи должны знать о проблемах безопасности подключения устройств умных домов к службам, которые им не совсем понятны, а также о необходимости правильной настройки системы».
Мартин Хрон описывает пять способов, как хакеры могут незаконно использовать некорректно сконфигурированные серверы MQTT:
- Открытые и незащищенные серверы MQTT можно найти с помощью поисковой системы Shodan IoT. Подключившись, хакеры смогут читать сообщения, передаваемые с помощью протокола MQTT. Исследования показывают, что хакеры, например, могут отследить, открыты ли умные окна, двери и свет. В этом случае злоумышленники могут управлять подключенными устройствами или, как минимум, менять данные, используя протокол MQTT от имени устройств. Таким образом злоумышленник может, например, отправить в центр управления умным домом сообщения для открытия двери гаража.
- Даже если сервер MQTT защищен, умный дом возможно взломать, так как в некоторых случаях панель мониторинга, используемая для управления контрольной панелью дома, работает на том же IP-адресе, что и сервер MQTT. Многие пользователи используют конфигурации по умолчанию, которые поставляются с ПО центра управления умным домом, а они часто не защищены паролем. Это значит, что хакер может получить полный доступ к панели мониторинга умного дома, что позволит хакеру управлять любым устройством, подключенным через нее.
- Даже если серверы MQTT и панель управления защищены, при использовании ПО для центров управления умным домом или умного помощника Home Assistant, открытые и незащищенные общие блоки серверных сообщений (SMB) являются общедоступными, в том числе для хакеров. SMB — это протокол, используемый для обмена файлами во внутренних сетях, главным образом на платформе Windows. Компания Avast обнаружила общедоступные каталоги со всеми файлами Home Assistant, включая файлы конфигурации. В доступных файлах компания нашла файл с паролями и ключами, хранящимися в виде обычного текста. Пароли, хранящиеся в файле конфигурации, могут дать хакеру полный контроль над домом.
- Чтобы управлять подключенными устройствами, владельцы умных домов могут использовать инструменты и приложения для создания панели мониторинга умного дома на основе протокола MQTT. С помощью специального приложения MQTT Dash пользователи могут создать собственную панель мониторинга и панель управления для контроля над умными устройствами с использованием протокола MQTT. С помощью панели мониторинга на сервере MQTT пользователи могут публиковать настраиваемые параметры, поэтому они могут легко дублировать настройки на любом количестве устройств. Если используемый сервер MQTT небезопасен, хакер может с легкостью получить доступ к панели мониторинга пользователя, что позволяет ему взломать умный дом без каких-либо трудностей.
- В некоторых случаях MQTT позволяет хакерам отслеживать местоположение пользователей, так как серверы MQTT обычно фокусируются на данных реального времени. Многие серверы MQTT подключены к мобильному приложению OwnTracks. С его помощью пользователи могут делиться информацией о своем местоположении с другими пользователями. Также оно может использоваться владельцами умных домов, чтобы сообщать установленным дома умным устройствам о приближении пользователя к дому, например, для включения умных светильников. Чтобы настроить функцию отслеживания, пользователям необходимо настроить приложение, подключившись к серверу MQTT и предоставить ему доступ к сети Интернет. Во время этого процесса ввод учетных данных для входа не требуется, что означает, что подключиться к серверу MQTT может любое лицо. Используя точки широты, долготы и высоты, а также временную метку положения, хакеры могут читать сообщения, включающие в себя сведения об уровне заряда батареи устройства и местоположении.
Полное исследование компании Avast можно найти в блоге Avast.
Опубликовано 24.08.2018