14/10/2013

Hakowanie… toalety

Porady

Do czego to doszło! Możemy dodać toalety do ciągle rosnącej listy „hakowalnego” sprzętu, którą tworzymy tutaj, na Kaspersky Daily.

hacking toilets_title

Już jakiś czas temu – na konferencji Black Hat – jeden z badaczy poruszył ten temat w skrócie. I mimo że bardzo chciałem o tym napisać (sami powiedzcie, temat jest cokolwiek niecodzienny) zająłem się ważniejszymi postami. Jednak, poczyniłem postanowienie, że wrócę do tej kwestii.

Okazuje się, że badacze z Trustwave – firmy związanej z bezpieczeństwem – opublikowali w sierpniu dokument ostrzegający użytkowników, że aplikacja dla Androida wykorzystywana do obsługi inteligentnej toalety Satis posiada wbudowany na sztywno kod weryfikacji dla BlueTootha. Kod ten to „0000” i wpisanie go może umożliwić atakującemu zdalne (w zakresie zasięgu BlueTootha) manipulowanie pewnymi funkcjami tego nowoczesnego ubikatora. Co więcej, po wpisaniu tego kodu jedno urządzenie z Androidem może się łączyć z dowolną liczbą inteligentnych toalet Satis pozostających w zasięgu.

Mówiąc krótko – posiadacze tych toalet są narażeni na całkiem niezłe żarty, ale niestety także na pewne zagrożenia.

Przejdźmy do konkretów. Atakujący może zainstalować aplikację „My Satis”, wprowadzić kod i sparować swoje urządzenie z dowolną liczną toalet (będących w zasięgu) poprzez Bluetootha. Następnie nasz „haker klozetowy” może przeprowadzić zestaw „ataków” – od utrudniających życie użytkowników po takie, które mogą narazić użytkownika na szkody. Atakujący może – zdaniem ekspertów z Trustwave – „zmusić toaletę do nieustannego uruchamiania spłuczki, co narazi użytkownika na koszty związane z nadmiernym zużyciem wody”.

Bardziej niepokojące (przynajmniej dla mnie) jest to, że atakujący może zdalnie zamykać i otwierać klapę toalety a nawet aktywować funkcje natrysku i suszenia. Nie jest to może tak poważna kwestia, jak włamywanie się do pomp insulinowych czy samochodów, jednak przyznacie, że toaleta żyjąca własnym życiem nie brzmi zbyt zachęcająco. Szczególnie, gdy ktoś z niej właśnie korzysta.

Nie mam dla Was prostej rady, jak można się chronić przed tym zagrożeniem. Wygląda na to, że firma produkująca toalety Satis – LIXIL – nie naprawiła jeszcze tego błędu. Zatem – jeżeli korzystacie z tej nowoczesnej toalety, możecie zasypać producenta mailami z żądaniami opublikowania uaktualnienia. Dodatkowo, urządzenia Satis posiadają coś, co nazywa się „trybem parowania”. Eksperci z Trustwave twierdzą, że wbudowany na sztywno kod i aplikacja dla Androida działa tylko wtedy, gdy tryb ten jest aktywny. Zatem z jednej strony, wyłączenie trybu parowania wydaje się być dobrym pomysłem, jednak z drugiej – jaki jest cel posiadania inteligentnej toalety, jeżeli nie możemy wydawać jej poleceń ze smartfona. Cóż, żyjemy w skomplikowanym świecie 🙂

Nie mogę mieć pewności, w końcu na świecie żyje wielu dziwnych ludzi, ale sądzę, że większość użytkowników toalet Satis nie ucierpi w wyniku zdalnych ataków. O ile oczywiście w domu/firmie nie krąży zbyt wielu żartownisiów…