Utilizatorii dispozitivelor "smart" isi risca nu doar intimitatea, ci chiar siguranta fizica, arata o investigatie recenta a specialistilor in securitate cibernetica ai Bitdefender. Un model popular de priza inteligenta este expus riscului unor actualizari cu software periculos si poate fi controlat de la distanta, conform cercetarii.

Dispozitivul vulnerabil este o priza electrica inteligenta care le permite utilizatorilor sa porneasca sau sa opreasca alimentarea cu energie electrica direct de pe ecranul telefonului. Priza poate fi folosita pentru a alimenta orice fel de aparat care necesita conectarea la o sursa de alimentare electrica – sisteme de alarma, aparatura medicala, camere de supraveghere, senzori de fum, termostate, televizoare smart, etc.

Cercetarea arata ca atacurile cibernetice care vizeaza dispozitive inteligente nu se mai limiteaza doar la prejudicii materiale sau la incalcarea drepturilor fundamentale ale omului prin accesarea datelor personale pana la cel mai mic detaliu, ci pot pune in pericol viata si integritatea corporala prin oprirea functionarii acestora.

Principalele vulnerabilitati identificate sunt legate de proceduri de autorizare si autentificare insuficiente, care permit modificarea parolei dispozitivului, injectarea de cod periculos si, ulterior, controlarea de la distanta a acestuia. Astfel, atacatorii pot nu doar ajunge in reteaua de internet a victimelor, de unde sa colecteze date personale si parole, ci chiar sa opreasca alimentarea cu energie electrica. In cazul anumitor dispozitive, sistarea alimentarii cu energie conduce la oprirea dispozitivului, ceea ce poate cauza inclusiv pagube materiale sau vatamari corporale.

„Spre deosebire de alte vulnerabilitati ale dispozitivelor inteligente identificate anterior, acest tip de atac poate fi orchestrat de oriunde din lume. Practic, atacatorul nu trebuie sa se mai afle in aceeasi retea de internet in care e conectat dispozitivul, ci il poate controla cu usurinta de la distanta sau chiar crea retele de botneti (dispozitive controlate de raufacatori pentru a raspandi spam si a instala amenintari pe alte calculatoare)”, spune Alexandru Balan, Chief Security Researcher al Bitdefender.

Cercetarea le reaminteste utilizatorilor riscurile de securitate pe care Internetul Lucrurilor le aduce, dat fiind ca exploatarea anumitor vulnerabitati poate avea consecinte serioase nu doar legate de confidentialitate, ci si legate de siguranta fizica.

Cateva sfaturi

1. Faceti o scurta cercetare inainte de a cumpara un dispozitiv smart pentru locuinta. Cronicile de pe internet pot descrie problemele de confidentialitate pe care alti utilizatori le-au identificat.

2. Testati gadgetul si intelegeti cum functioneaza. Incercati sa gasiti raspunsuri la urmatoarele intrebari: Cum se conecteaza la internet? Ce date acceseaza? Unde stocheaza datele si in ce circumstante? Pot ajunge datele pe mana unui necunoscut, daca reteaua Wi-Fi este atacata? Calculati raportul intre riscuri si beneficii.

3. Cititi declaratia producatorului dispozitivului legata de protejarea dreptului la viata privata.

Numarul dispozitivelor conectate la internet a depasit nivelul de patru miliarde de unitati la finele anului 2015, iar industria va continua sa se dezvolte intr-un ritm alert pe fondul plusului de confort oferit utilizatorilor.

In luna martie, specialistii Bitdefender au analizat alte patru dispozitive inteligente populare, cu peste 150.000 de clienti la nivel global, si au reusit sa controleze gadgeturile, fara cunostinta proprietarului: WeMo Switch (dispozitiv care foloseste o retea Wi-Fi ca sa controleze televizoare, becuri, boxe, termostate, etc.), Lifx (bec inteligent controlat prin Wi-Fi), MUZO Cobblestone Wi-Fi Audio Receiver (sistem audio care reda muzica de pe smartphone sau tableta) si Link Hub (consola cu doua becuri electrice care permite administrarea sistemului de iluminat). Rezultatele au fost publicate in raportul „Internet of Things. Riscuri in locuintele conectate”.

Politica de comunicare a vulnerabilitatilor

Bitdefender a anuntat producatorul dispozitivului despre rezultatele cercetarii. Vulnerabilitatile identificate de catre specialistii in securitate cibernetica au fost comunicate in concordanta cu politica Bitdefender de notificare si dezvaluire a vulnerabilitatilor. Potrivit acesteia, furnizorii sunt instiintati in scris despre descoperiri si sunt incurajati sa remedieze erorile si defectiunile din produsele semnalate. La 30 de zile dupa comunicarea initiala, rezultatele cercetarii sunt transmise publicului larg. Producatorul a promis remedierea vulnerabilitatii in trimestrul al treilea din 2016.