Hlavní navigace

Připojené dětské chůvičky rájem pro šmíráky. Ukazují rizika Internetu věcí

Daniel Dočekal 10. 9. 2015

Bezpečnostní firma Rapid 7 varuje před řadou zranitelností a zásadních nedostatků u dětských chůviček připojitelných k internetu.

Není zrovna dobrý pocit, že máte doma dětskou elektronickou chůvičku, na kterou se může napojit někdo cizí a odposlouchávat, či dokonce na kameře sledovat, co se u vás doma děje. V těch méně hrozivých případech může toto zařízení zneužít k šíření malwaru, spamu a dalších nepříliš vhodných věcí. V těch horších se ale také může třeba napojit na reproduktor a přehrávat, cokoliv ho napadne.

Rapid 7 v 10 New Vulnerabilities for Video Baby Monitors prezentují výsledky testu devíti modelů od osmi výrobců. Výsledky nejsou povzbudivé. Upozorňují na konkrétní nedostatky některých modelů dětských chůviček vybavených videem, tedy takových, kde útočník může sledovat, co se děje před kamerou chůvičky. A také si cokoliv sledované nahrávat a kamkoliv přenést. Případný takto získaný obsah pak může, podobně jako fotografie vašich dětí z Facebooku, skončit v pedofilních databázích či na pornografických webech.

Ignorance výrobců ve všech směrech

Pokud budeme k internetu připojené dětské chůvičky brát jako jeden z příkladu Internetu věcí (IoT), tak je to dost děsivé poučení.

Zásadní nedostatky v zabezpečení, možnost vzdáleného ovládnutí, absence šifrování, zranitelnosti známé z jiných aplikací a zařízení, žádné nebo obtížně aplikovatelné aktualizace. A jak Rapid 7 zdůrazňují, většina z bezpečnostních nedostatků objevených při testech je zneužitelná útočníkem bez jakýchkoliv nutných pokročilejších schopností.

Dětské internetové chůvičky ale hlavně ukazují to, co se u IoT často cituje jako zásadní bezpečnosti riziko – přinášejí nové zranitelnosti a nedostatky, které počítače a další dnes běžná zařízení už dávno znají. Jde o chyby, kterými „velký“ internet prošel a které tvůrci ošetřují hned při vzniku softwaru a k tomu odpovídajícího hardwaru.

Chybí šifrování lokální i vzdálené komunikace, stejně jako to, že získávaná data jsou ukládána v paměti či na disku zařízení bez jakékoliv ochrany. Na síťovém rozhraní otevřeném do internetu je běžně dostupná možnost ovládání (a ovládnutí) zařízení. Přístroje přicházejí vybavené předem danými a veřejně známými hesly a nechybí ani to, že kdokoliv s přístupem k zařízení samotnému ho velmi rychle může ovládnout a změnit.

Absurdní chyby kterým se těžko věří

Rapid 7 zmiňuje i některé bezpečnostní nedostatky, které jsou těžko uvěřitelné. Například uživatelé zařízení od iBaby Labs mohou snadno, pomocí cloudu spojujícího všechna tato zařízení, sledovat kamery ze zcela cizích zařízení – stačí k tomu mít přihlašovací údaje k iBabyCloud.com. 

Vedle sledování mohou obraz i nahrávat – to vše jenom proto, že kamera je identifikovatelná sériovým číslem v osmimístné šestnáctkové podobě a k reálném číslu se můžete dostat prostým zkoušením – začnete od jedničky a můžete pokračovat až do konce číselné řady.

Právě ono osmimístné číslo pak postačí vložit do URL, která umožní přístup k souborům i kameře z chůvičky. A ačkoliv Rapid 7 výrobce upozornil, tak od června do září 2015 nedošlo k žádné změně.

Jinou typickou absurditou je otevřený Telnet na síťovém rozhraní a pevně určené přihlašovací údaje, které je možné použít pro přihlášení jak ze síťového rozhraní, tak z lokálního portu na zařízení. Pokud předpokládáte, že pro přihlášení slouží login a heslo „admin/admin“, tak jste to uhodli přesně. Změna je navíc možná pouze pokud dojde k aktualizaci firmwaru.

Nechybí ani řada možností využítí XSS (Cross Site Scripting) k unesení sezení (session hijacking). V jiném případě je vzdálený přístup ke kameře přes servery výrobce možné využít k napojení bez vědomí vlastníků – přenosy totiž probíhají na veřejně dostupné adrese i portu serveru výrobce. U některých modelů se dá případně přímo a bez omezení napojit na samotnou chůvičku a její kameru, která vše ukazuje na volně dostupném rozhraní.

Nechybí ani administrační rozhraní, kde se nijak neřeší to, jestli je uživatel přihlášen a oprávněn různé aktivity provádět. Může si tak například do jedné z chůviček přidat nového uživatele.

Máte doma internetově vybavenou chůvičku?

Máte snad doma elektronickou chůvičku připojenou k internetu? Možná máte štěstí a váš model zásadní bezpečnostní nedostatky neobsahuje. Ale také možná máte nějakou jinou, která testem Rapid 7 neprošla. A s ohledem na šíři a množství zjištěných nedostatků a toho, jak výrobci chytrých zařízení bezpečnost podceňují, je velmi pravděpodobné, že je na tom stejně špatně.

Našli jste v článku chybu?

10. 9. 2015 12:30

Karel (neregistrovaný)

No bude to chtít hodně vybírat, co si kdo domu pořizuje. A pro naprostý odpůrce to znamená jedno - kravku do chlívku, vykopat sklep místo ledničky, chodit telefonovat na poštu a poslouchat tranzistorák. Čert nám byl dlužen všechny tyhlety internety, jak říká Pohlová.

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO