Состояние безопасности в инфраструктуре умного дома - не просто плохое, а очень плохое. Ежегодно к сети подключаются миллионы новых устройств, разработчики которых попросту забыли подумать о защите.
Иногда проблемными оказываются даже устройства именитых производителей, вроде Xiaomi. Хакерам Limited Results удалось извлечь из популярных смарт-лампочек LIFX, Xiaomi, Tuya и WIZ пароли от Wi-Fi. Как выяснилось, пароли хранились там в совершенно незашифрованном виде. Правда, чтобы извлечь данные, хакеру пришлось вскрыть лампочку физически. Но это - все равно уязвимость. Ведь взломщик, желающий заполучить доступ к вашей домашней сети, может извлечь сгоревшую лампочку из мусорного бака.
Эксперт по безопасности и основатель компании VTrust Михаэль Штайгервальд смог взломать умную лампочку Tuya удаленно, без вскрытия. Процесс взлома Штайгервальд продемонстрировал лично на одной из своих лекций в Лейпциге.
В целом же, проблема инфраструктуры умного дома является глобальной и не касается отдельных производителе или определенного типа устройств.
Кому можно доверять?
Эксперты AndroidPit пообщались о проблеме с представителем компании AV-Test Майком Моргенштерном. Они спросили, как может потребитель заранее знать, заслуживает ли то или иное устройство доверия. По словам Моргенштерна, общая ситуация не предрасполагает к доверию.
“Общество обращает внимание, прежде всего, на те случаи, в которых явно что-то пошло не так. Но в этой ситуации самым пугающим является то, что одни и те же простые ошибки совершаются снова и снова, чего быть не должно. Часто в сложном взломе нет никакой необходимости, ведь пароли просто пересылаются по сети в виде открытого текста.
С 2013 года мы тестируем устройства интернета вещей и выявили несколько тенденций. Известные производители прилагают все больше усилий, чтобы гарантировать информационную безопасность, так что мы видим, как ее уровень постоянно повышается. Но в то же время новые компании постоянно прибывают на рынок, и для них безопасность зачастую не играет важной роли. Кроме того, подход к защите данных может быть очень разным.
Европейские производители все чаще привлекают внимание основательным подходом к безопасности и разумными требованиями к защите данных. Если компании также проходят добровольный тест безопасности, вроде AV-TEST, их продукты получают отметку “TESTED SMART HOME PRODUCT” [“Проверенный продукт умного дома”, - прим. ред.]. В этом случае есть высокие шансы, что устройством можно пользоваться безопасно и что данные пользователя не будут скомпрометированы”, - рассказывает Моргенштерн.
Следует также учитывать, что небезопасные технологии могут использоваться в продуктах самых разных компаний. К примеру, та же Tuya продает компоненты тысячам более мелких производителей. По словам самих представителей Tuya, их клиентами являются около 10 тыс. компаний по всему миру. Конечно, после того, как Михаэль Штайгервальд уличил Tuya в пренебрежении к безопасности, производитель начал принимать меры. По словам представителей компании, уже сделано или будет сделано в ближайшее время следующее:
AES-ключи будут передаваться в зашифрованном виде;
- соединение устройств с облаком Tuya будет шифроваться по протоколу TLS;
- информация во флэш-памяти будет также храниться в зашифрованном виде;
- программное обеспечение будет проверяться;
- мобильные приложения получат дополнительные опции управления безопасностью.
К сожалению, как показывает практика, данные о местоположении каждого отдельного пользователя все еще могут быть восстановлены из облака Tuya. А значит, всем производителям, использующим технологии той компании, может быть известно о своих потребителях больше, чем следовало бы. И, как уже говорилось, сами потребители об этом даже не догадываются.
Производитель лампочек Lifx недавно тоже пообещал, что начнет уделять больше внимания безопасности. Компания Xiaomi тоже выпустила соответствующий патч. Это уже неплохо. Жаль лишь, что для этого каждого из производителей пришлось сначала “поймать за руку”.
Как быть простому пользователю?
Если вы заинтересовались инфраструктурой умного дома и хотите к ней приобщиться, забудьте о том, чтобы просто пойти и купить гаджеты, которые вам нравятся. Возможно, так можно будет поступать в будущем - лет через пять-десять. Сейчас же такое поведение является слишком безрассудным. Пользование многими из устройств, которые присутствуют сегодня на рынке, попросту небезопасно.
Для начала пользователю следует углубиться в вопрос и тщательнее изучить предложение. Обращайте внимание не только на сам товар, но и на то, что о нем пишут в сети. Пожалуй, не следует покупать новые устройства от компаний, которые лишь недавно вышли на рынок.
Скандалы, как ни удивительно, могут быть хорошим признаком. Если какого-то производителя публично уличили в плохой безопасности и он выпустил соответствующее обновление, вы можете быть уверены в том, что конкретно эту дыру уже залатали. А вот если малоизвестный продукт вовсе не попадал в поле зрения экспертов-безопасников, то, возможно, в нем еще полно уязвимостей, которые пока никто не заметил.