Není zrovna dobrý pocit, že máte doma dětskou elektronickou chůvičku, na kterou se může napojit někdo cizí a odposlouchávat, či dokonce na kameře sledovat, co se u vás doma děje. V těch méně hrozivých případech může toto zařízení zneužít k šíření malwaru, spamu a dalších nepříliš vhodných věcí. V těch horších se ale také může třeba napojit na reproduktor a přehrávat, cokoliv ho napadne.
Rapid 7 v 10 New Vulnerabilities for Video Baby Monitors prezentují výsledky testu devíti modelů od osmi výrobců. Výsledky nejsou povzbudivé. Upozorňují na konkrétní nedostatky některých modelů dětských chůviček vybavených videem, tedy takových, kde útočník může sledovat, co se děje před kamerou chůvičky. A také si cokoliv sledované nahrávat a kamkoliv přenést. Případný takto získaný obsah pak může, podobně jako fotografie vašich dětí z Facebooku, skončit v pedofilních databázích či na pornografických webech.
Ignorance výrobců ve všech směrech
Pokud budeme k internetu připojené dětské chůvičky brát jako jeden z příkladu Internetu věcí (IoT), tak je to dost děsivé poučení.
Zásadní nedostatky v zabezpečení, možnost vzdáleného ovládnutí, absence šifrování, zranitelnosti známé z jiných aplikací a zařízení, žádné nebo obtížně aplikovatelné aktualizace. A jak Rapid 7 zdůrazňují, většina z bezpečnostních nedostatků objevených při testech je zneužitelná útočníkem bez jakýchkoliv nutných pokročilejších schopností.
Dětské internetové chůvičky ale hlavně ukazují to, co se u IoT často cituje jako zásadní bezpečnosti riziko – přinášejí nové zranitelnosti a nedostatky, které počítače a další dnes běžná zařízení už dávno znají. Jde o chyby, kterými „velký“ internet prošel a které tvůrci ošetřují hned při vzniku softwaru a k tomu odpovídajícího hardwaru.
Chybí šifrování lokální i vzdálené komunikace, stejně jako to, že získávaná data jsou ukládána v paměti či na disku zařízení bez jakékoliv ochrany. Na síťovém rozhraní otevřeném do internetu je běžně dostupná možnost ovládání (a ovládnutí) zařízení. Přístroje přicházejí vybavené předem danými a veřejně známými hesly a nechybí ani to, že kdokoliv s přístupem k zařízení samotnému ho velmi rychle může ovládnout a změnit.
Absurdní chyby kterým se těžko věří
Rapid 7 zmiňuje i některé bezpečnostní nedostatky, které jsou těžko uvěřitelné. Například uživatelé zařízení od iBaby Labs mohou snadno, pomocí cloudu spojujícího všechna tato zařízení, sledovat kamery ze zcela cizích zařízení – stačí k tomu mít přihlašovací údaje k iBabyCloud.com.
Vedle sledování mohou obraz i nahrávat – to vše jenom proto, že kamera je identifikovatelná sériovým číslem v osmimístné šestnáctkové podobě a k reálném číslu se můžete dostat prostým zkoušením – začnete od jedničky a můžete pokračovat až do konce číselné řady.
Právě ono osmimístné číslo pak postačí vložit do URL, která umožní přístup k souborům i kameře z chůvičky. A ačkoliv Rapid 7 výrobce upozornil, tak od června do září 2015 nedošlo k žádné změně.
Jinou typickou absurditou je otevřený Telnet na síťovém rozhraní a pevně určené přihlašovací údaje, které je možné použít pro přihlášení jak ze síťového rozhraní, tak z lokálního portu na zařízení. Pokud předpokládáte, že pro přihlášení slouží login a heslo „admin/admin“, tak jste to uhodli přesně. Změna je navíc možná pouze pokud dojde k aktualizaci firmwaru.
Nechybí ani řada možností využítí XSS (Cross Site Scripting) k unesení sezení (session hijacking). V jiném případě je vzdálený přístup ke kameře přes servery výrobce možné využít k napojení bez vědomí vlastníků – přenosy totiž probíhají na veřejně dostupné adrese i portu serveru výrobce. U některých modelů se dá případně přímo a bez omezení napojit na samotnou chůvičku a její kameru, která vše ukazuje na volně dostupném rozhraní.
Nechybí ani administrační rozhraní, kde se nijak neřeší to, jestli je uživatel přihlášen a oprávněn různé aktivity provádět. Může si tak například do jedné z chůviček přidat nového uživatele.
Máte doma internetově vybavenou chůvičku?
Máte snad doma elektronickou chůvičku připojenou k internetu? Možná máte štěstí a váš model zásadní bezpečnostní nedostatky neobsahuje. Ale také možná máte nějakou jinou, která testem Rapid 7 neprošla. A s ohledem na šíři a množství zjištěných nedostatků a toho, jak výrobci chytrých zařízení bezpečnost podceňují, je velmi pravděpodobné, že je na tom stejně špatně.
