І знову IT індустрія показує, як звичка людей до комфорту може стати причиною втрати їх грошей і особистих даних. Такі прості і невинні девайси, як керовані через інтернет вимикачі світла, використовуються хакерами для злому домашньої мережі і привласнення коштів і особистої інформації власника. Це вже другий раз доводять ентузіасти, обходячи захист мережі інтелектуальних лампочок Philips Hue за допомогою звичайних квадрокоптера.
Як вимикачі Philips Hue хакерами зламувалися
Вперше лампи Philips Hue потрапили під контроль експертів кібербезпеки практично відразу ж після випуску даного девайса 4 роки тому. Тоді інженер використовував безпілотник, щоб зламати захист пристрою і почати повністю контролювати лампочку – міняти яскравість, контрастність, включати і вимикати прилад. Співробітники компанії-виробника оперативно відреагували і випустили новий патч, який нібито усунув проблему, проте, як виявилося, вони «злукавили».
Нову лазівку вирахували співробітники компанії Check Point Software, що займається дослідженнями в області кібербезпеки. Методично і терпляче експерт обходив захист, після чого зміг заволодіти однією з лампочок, включених в загальну мережу. Потім хакер завантажив в її блок управління шкідливий код, який по черзі зламав всі інші девайси, підключені до загальної мережі, тим самим отримавши повний контроль над хабом. Потім вірус ініціював скидання величезної кількості даних через уразливість протоколу ZigBee на керуючий міст, тим самим відключаючи систему захисту. Це відкриває хакеру доступ до домашньої мережі, до якої підключена система Philips Hue, а, відповідно, дозволить потенційному зловмиснику красти паролі, переводити гроші і по-іншому шкодити власнику житла.
Уразливість була швидко виправлена співробітниками компанії-виробника, для посилення захисту їх пристроїв власникам лампочок Philips Hue потрібно оновити систему до версії 1935144040, скачавши потрібний патч з сервера фірми. Однак самі ж представники компанії зізнаються, що причиною появи уразливості є конструктивні особливості виробу, тобто в майбутньому можливі інші методи обходу захисту девайса.
Справа в тому, що без оновлення бази ваша мережа залишається вразливою для хакерських атак, а якщо врахувати, що далеко не кожен власник «розумних систем» замислюється про необхідність регулярно завантажувати нове ПЗ, то стає незатишно. Але найстрашніше не в цьому – хоч хакер і зламав конкретно вироби Philips Hue, протокол зв’язку Zigbee використовується безліччю інших «розумних» девайсів. Зокрема, протокол входить до складу софта систем сигналізації Comcast Xfinity Home, замків Yale, Amazon Ring і Samsung SmartThings. Тобто потенційно компоненти «розумного будинку» можуть нести небезпеку для безпеки особистих даних власника.
Однак IT сектор не стоїть на місці, тим більше, що є такі надзахищені системи, як блокчейн, які використовується для боротьби з торгівлею людьми.
