Hlavní navigace

Připojené dětské chůvičky rájem pro šmíráky. Ukazují rizika Internetu věcí

Daniel Dočekal 10. 9. 2015

Bezpečnostní firma Rapid 7 varuje před řadou zranitelností a zásadních nedostatků u dětských chůviček připojitelných k internetu.

Není zrovna dobrý pocit, že máte doma dětskou elektronickou chůvičku, na kterou se může napojit někdo cizí a odposlouchávat, či dokonce na kameře sledovat, co se u vás doma děje. V těch méně hrozivých případech může toto zařízení zneužít k šíření malwaru, spamu a dalších nepříliš vhodných věcí. V těch horších se ale také může třeba napojit na reproduktor a přehrávat, cokoliv ho napadne.

Rapid 7 v 10 New Vulnerabilities for Video Baby Monitors prezentují výsledky testu devíti modelů od osmi výrobců. Výsledky nejsou povzbudivé. Upozorňují na konkrétní nedostatky některých modelů dětských chůviček vybavených videem, tedy takových, kde útočník může sledovat, co se děje před kamerou chůvičky. A také si cokoliv sledované nahrávat a kamkoliv přenést. Případný takto získaný obsah pak může, podobně jako fotografie vašich dětí z Facebooku, skončit v pedofilních databázích či na pornografických webech.

Ignorance výrobců ve všech směrech

Pokud budeme k internetu připojené dětské chůvičky brát jako jeden z příkladu Internetu věcí (IoT), tak je to dost děsivé poučení.

Zásadní nedostatky v zabezpečení, možnost vzdáleného ovládnutí, absence šifrování, zranitelnosti známé z jiných aplikací a zařízení, žádné nebo obtížně aplikovatelné aktualizace. A jak Rapid 7 zdůrazňují, většina z bezpečnostních nedostatků objevených při testech je zneužitelná útočníkem bez jakýchkoliv nutných pokročilejších schopností.

Dětské internetové chůvičky ale hlavně ukazují to, co se u IoT často cituje jako zásadní bezpečnosti riziko – přinášejí nové zranitelnosti a nedostatky, které počítače a další dnes běžná zařízení už dávno znají. Jde o chyby, kterými „velký“ internet prošel a které tvůrci ošetřují hned při vzniku softwaru a k tomu odpovídajícího hardwaru.

Chybí šifrování lokální i vzdálené komunikace, stejně jako to, že získávaná data jsou ukládána v paměti či na disku zařízení bez jakékoliv ochrany. Na síťovém rozhraní otevřeném do internetu je běžně dostupná možnost ovládání (a ovládnutí) zařízení. Přístroje přicházejí vybavené předem danými a veřejně známými hesly a nechybí ani to, že kdokoliv s přístupem k zařízení samotnému ho velmi rychle může ovládnout a změnit.

Absurdní chyby kterým se těžko věří

Rapid 7 zmiňuje i některé bezpečnostní nedostatky, které jsou těžko uvěřitelné. Například uživatelé zařízení od iBaby Labs mohou snadno, pomocí cloudu spojujícího všechna tato zařízení, sledovat kamery ze zcela cizích zařízení – stačí k tomu mít přihlašovací údaje k iBabyCloud.com. 

Vedle sledování mohou obraz i nahrávat – to vše jenom proto, že kamera je identifikovatelná sériovým číslem v osmimístné šestnáctkové podobě a k reálném číslu se můžete dostat prostým zkoušením – začnete od jedničky a můžete pokračovat až do konce číselné řady.

Právě ono osmimístné číslo pak postačí vložit do URL, která umožní přístup k souborům i kameře z chůvičky. A ačkoliv Rapid 7 výrobce upozornil, tak od června do září 2015 nedošlo k žádné změně.

Jinou typickou absurditou je otevřený Telnet na síťovém rozhraní a pevně určené přihlašovací údaje, které je možné použít pro přihlášení jak ze síťového rozhraní, tak z lokálního portu na zařízení. Pokud předpokládáte, že pro přihlášení slouží login a heslo „admin/admin“, tak jste to uhodli přesně. Změna je navíc možná pouze pokud dojde k aktualizaci firmwaru.

Nechybí ani řada možností využítí XSS (Cross Site Scripting) k unesení sezení (session hijacking). V jiném případě je vzdálený přístup ke kameře přes servery výrobce možné využít k napojení bez vědomí vlastníků – přenosy totiž probíhají na veřejně dostupné adrese i portu serveru výrobce. U některých modelů se dá případně přímo a bez omezení napojit na samotnou chůvičku a její kameru, která vše ukazuje na volně dostupném rozhraní.

MIF16

Nechybí ani administrační rozhraní, kde se nijak neřeší to, jestli je uživatel přihlášen a oprávněn různé aktivity provádět. Může si tak například do jedné z chůviček přidat nového uživatele.

Máte doma internetově vybavenou chůvičku?

Máte snad doma elektronickou chůvičku připojenou k internetu? Možná máte štěstí a váš model zásadní bezpečnostní nedostatky neobsahuje. Ale také možná máte nějakou jinou, která testem Rapid 7 neprošla. A s ohledem na šíři a množství zjištěných nedostatků a toho, jak výrobci chytrých zařízení bezpečnost podceňují, je velmi pravděpodobné, že je na tom stejně špatně.

Našli jste v článku chybu?
Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled