Az olcsó mindig drága: IoT-eszközök veszélyben

Ha valami túl olcsó, hogy igaz legyen, akkor általában utólag derül ki, hogy mivel fizetjük meg a különbözetet. Milliónyi, internetre csatlakoztatott kínai eszköz esetében a biztonság ez a valuta. A beléjük épített, peer-to-peer kommunikációs technológia biztonsági hibája miatt ezek az eszközök lehallgatóvá váltak, segítségükkel ellophatók a használónevek. Távolról is be lehet jutni az eszközökbe – derült ki egy biztonsági szakértő tanulmányából. A kritikus biztonsági hibákat az idén januárban fedezte fel Paul Marapese, de a gyártó eddig nem tett lépéseket a hiba elhárításáért.

A sérülékenységeket a iLnk P2P szoftverében fedezték fel, ezt a kínai Shenzhen Yunni Technology nevű cég fejlesztette. A szoftvert több millió IoT eszközbe építették be, közöttük biztonsági kamerákba, webkamerákba, bébimonitorokba, okoscsengőkbe és digitális videórögzítőkbe.

Az iLnk P2P mögötti elképzelés egyébként nem rossz, a megoldást azért fejlesztették ki és építették be több mint 2 millió eszközbe, mert így gyors és könnyű a távoli elérésük, méghozzá anélkül, hogy a használó a meglévő tűzfalán bármit is beállítana. A vásárlók – miután megvették az okoseszközt – egyszerűen beolvassák az alján lévő vonalkódot, majd beviszik az eszköz hatjegyű azonosítóját, innentől a P2P-szoftver megoldja a többit.

A biztonsági szakértő elemzése szerint az iLnk P2P-eszközök nem kínálnak hitelesítést vagy titkosítást, ezért egy támadónak viszonylag egyszerű saját céljaira felhasználnia őket. A kutató több mint kétmillió, az internetre csatlakoztatott sebezhető eszközt azonosított, ezek többsége (39 százalék) Kínában használatos, 19 százalékuk Európában, 7 százalékuk pedig az Amerikai Egyesült Államokban. Az érintett eszközöket a többi között a VStarcam, Eye Sight és HiChip márkaneveken forgalmazták. Ha szeretnénk tudni, hogy az eszköze érintett-e a biztonsági hibában – melynek egyelőre nem tudni, mikor lesz frissítése, ha lesz egyáltalán – az eszköz alján található sorszám betűazonosítóit nézzük meg, az érintett azonosítók listája itt érhető el.

Sajnos, az IoT-eszközök sérülékenységére eddig is találhattunk számos példát. Az Europol 2015-ben semlegesített egy botnetekből álló hálózatot, amely 3,2 millió számítógépet fertőzött meg. Egy évvel később felvetődött, hogy az budapesti úszó VB kameráit kellene frissíteni, miután a Sony IP-kameráiban fedeztek fel egy sérülékenységet. Az amerikai fogyasztóvédelmi hivatal meg pert is indított egy gyártó ellen, mert az nem tett meg mindent, hogy IoT-eszközei biztonságban legyenek.