To smutne, że inteligentne urządzenia nie są bezpieczne, chociaż są bardzo popularne. W jednym z naszych ostatnich postów napisaliśmy o zagrożeniach, jakie ta sytuacja stwarza dla użytkowników urządzeń domowych posiadających dostęp do internetu. Dziś poruszymy temat innego odkrycia naszych ekspertów: jedna z inteligentnych kamer ma niemal tyle luk, ile funkcji opisanych w instrukcji obsługi.
Tak — wykryliśmy 13 luk! Wszystkie wymieniliśmy w naszym pełnym raporcie opublikowanym w serwisie SecureList. Zobaczmy, co to oznacza dla posiadacza takiej kamery.
Przedmiotem naszego badania była kamera Hanwha SNH-V6410PN firmy Techwin, dawnej spółki firmy Samsung. Chociaż firma zmieniła właścicieli kilka lat temu, wyprodukowała wspomniane kamery z logo Samsung w 2017 roku i są one nadal dostępne w sprzedaży.
Kamery są reklamowane jako wszechstronne narzędzie do monitorowania, które można zastosować w pokojach dziecięcych, domach, a nawet małych biurach. Mogą działać w ciemności, obracają się za poruszającym się obiektem, przesyłają obraz do smartfonu lub tabletu oraz umożliwiają komunikację przez wbudowany głośnik.
Posiadacz takiej kamery internetowej może sterować jej wszystkimi funkcjami poprzez usługę w chmurze, do której można uzyskać dostęp z poziomu komputera lub urządzenia mobilnego. Według badania Kaspersky Lab ICS CERT wspomniane luki w kamerze umożliwiają osobom postronnym przejęcie nad nimi kontroli. Niestety taki stan rzeczy stwarza wiele możliwości atakującym.
Zagrożenia, których nie widać
Atakujący może podmienić przesyłany użytkownikowi obraz — podobnie jak to się dzieje w filmach, w których ktoś oszukuje strażnika, wyświetlając mu nagranie sprzed tygodnia. Niestety triku tego mogą użyć prawdziwi przestępcy, którzy mają zamiar włamać się do domu czy biura chronionego przy użyciu danej inteligentnej kamery.
Kamera taka może pomóc atakującym w zrobieniu rozeznania, którego potrzebują do przeprowadzenia ataku. Naszym ekspertom udało się przechwycić przesyłany film, wejść na kanał dźwięku i zdobyć dane o lokalizacji. Oznacza to, że atakujący mogliby poznać lokalizację urządzenia oraz poznać nawyki i praktyki mieszkańców czy pracowników, aby dokładnie zaplanować atak — a wszystko to zdalnie, przez internet.
Szpiegowanie elektronicznym okiem
Nie trzeba przytaczać żadnych dramatycznych scenariuszy: haker ma wiele innych niefajnych możliwości. Podobnie jak wiele innych inteligentnych urządzeń, kamery mogą używać sieci społecznościowych i serwisów internetowych do powiadamiania o wydarzeniach, które mają miejsce w nadzorowanym obszarze. Po przejęciu nad nimi kontroli hakerzy mogą nie tylko zdobyć dane Twojego konta, ale także użyć zhakowanego urządzenia do wysyłania wiadomości spamowych lub phishingowych do osób znajdujących się na liście znajomych.
Aby zatrzeć ślady swojej działalności (albo zwyczajnie dla zabawy) mogą oni również całkowicie zniszczyć kamerę.
Oczywiście istnieje też kilka innych możliwości, np. podglądanie posiadacza kamery bez jego wiedzy. Żarty tego pokroju są wśród hakerów dosyć popularne.
Kamera może również odtwarzać dźwięk poprzez wbudowany głośnik. Nie będziemy tu wymyślać okrutnych przykładów — wystarczy wiedzieć, że ktoś obcy może mówić przez kamerę monitorującą dziecko. Czy w takich okolicznościach posiadanie kamery połączonej z internetem nadal jest dobrym pomysłem?
Atak cyberzombie
Kilka lat temu świat dowiedział się o istnieniu botnetu składającego się z Internetu Rzeczy — tysiące inteligentnych urządzeń działały na zlecenie przestępców, wstrzymując aktywność wielu dużych usług internetowych. Inteligentne kamery Hanwha Techwin nie były wtedy zabezpieczone. Dzięki zhakowaniu setek tysięcy kamer przestępcy mogli ich użyć do przeprowadzenia ataku DDoS, zaangażować je do wydobywania kryptowaluty lub zmusić do zainfekowania pozostałych urządzeń połączonych z tą samą siecią. Albo wszystko to naraz.
Czy przyszłość maluje się w ponurych barwach?
Oprócz kamer dla domu i biura firma Hanwha produkuje jeszcze systemy telewizji przemysłowej. Co ciekawe, portfolio tego producenta obejmuje również działa samobieżne i roboty strażnicze. Mamy nadzieję, że w przypadku tych urządzeń bezpieczeństwo ma najwyższy priorytet.
Wszystkie zagrożenia wykryte przez nas w oprogramowaniu urządzeń Hanwha SNH-V6410PN oraz usłudze chmurowej, poprzez którą można nimi sterować, zostały zgłoszone producentowi, który wyeliminował już większość z nich.
Jednak dopóki producenci inteligentnych urządzeń nie zaczną brać kwestii ich bezpieczeństwa na poważnie — czyli już w fazie projektu — sugerujemy użytkownikom zajęcie się tym tematem we własnym zakresie.
- Zanim kupisz inteligentne urządzenie — na przykład sterowaną smartfonem nianię elektroniczną — przemyśl swoją decyzję dwa razy. Jeśli naprawdę go potrzebujesz, poszukaj w internecie informacji o próbach zhakowania oraz czy są znane już jakieś luki.
- Dowiedz się jak najwięcej o urządzeniach, które już masz, aby zmniejszyć ryzyko ataku.
- Jeśli nie musisz, nie uzyskuj dostępu do swojego urządzenia z sieci zewnętrznej.
- Wyłącz wszystkie usługi sieciowe, których nie potrzebujesz do korzystania z urządzenia.
- Jeśli istnieje standardowe lub uniwersalne hasło, którego nie można zmienić, lub nie można wyłączyć ustawionego wcześniej konta, wyłącz usługi sieciowe, w których są one wykorzystywane, lub zamknij dostęp do sieci zewnętrznych.
- Zanim zaczniesz korzystać z urządzenia, zmień hasło domyślne i ustaw nowe.
- W miarę możliwości regularnie aktualizuj oprogramowanie układowe (tzw. firmware) urządzenia do najnowszej wersji, gdy tylko zostanie udostępniona przez producenta urządzenia.