Nowy raport opracowany przez naukowców z firmy Forescout zdradza, iż wiele sprzętów smart home dostępnych na rynku posiada specyficzną lukę bezpieczeństwa, której praktycznie nie da się załatać. W jaki sposób działa ta podatność?
Zespół odpowiedzialny za wspomniany raport nazwał lukę jako Amnesia:33 i szczegółowo opisał każdy problem w oficjalnym dokumencie w pliku PDF. Forescout szacuje, że luka w zabezpieczeniach dotyka ponad 150 dostawców inteligentnych sprzętów smart home na całym świecie. Potencjalnie miliony urządzeń mogą być więc podatne na specyficzny atak.
Smart home z luką Amnesia:33
Luka bezpieczeństwa Amnesia:33 ma kilka możliwości, w jakie może wpływać na różne urządzenia. W tym przypadku, badacze zwracają uwagę, między innymi na zdalne wykonanie kodu RCE w celu przejęcia kontroli nad urządzeniem, odmowę usługi w celu pogorszenia funkcjonalności sprzętu czy też wyciek informacji w celu pozyskania konkretnych danych. Inne rzeczy dotyczą ,między innymi ,zatruwania pamięci podręcznej DN,S w celu przekierowania danych urządzenia do złośliwej witryny oraz mniej oczywiste wzorce ataku mogące stanowić spustoszenie w lokalnej sieci i innych, podłączonych sprzętach.
Forescout podaje przykłady ataków, które mogłyby zostać wykorzystane chociażby w służbie zdrowia. W tym przypadku atakujący może uzyskać dostęp do sieci i spowodować spustoszenie, potencjalnie powodując problemy z systemami temperatury, podłączonymi zamkami i alarmami pożarowymi. To wszystko oczywiście najgorsze scenariusze, ale są one możliwe do wykorzystania.
Problemu nie da się szybko rozwiązać
Niestety Amnesia:33 wykorzystuje fundamentalne elementy składowe wielu urządzeń sieciowych. Wszystkie z nich związane są z open-source, co oznacza, że mogą być modyfikowane przez wielu programistów. Nawet jeśli wszystkie biblioteki kodu zostaną zaktualizowane, charakter korzystania z oprogramowania open-source sprawia, że dalej łatwo się do nich dostać.
Na tym etapie jedyną możliwością rozwiązania problemu pozostaje przyjęcie przez każdą z firm indywidualnej odpowiedzialności za swój sprzęt.
