Výzkumníci z firmy Context Information Security upozornili na chybu v LED žárovkách, které vyrábí firma LIFX. Systém zde funguje tak, že zde existuje jediná řídicí (master) žárovka, která ovládá ty ostatní. Řídicí žárovka pak komunikuje přes Wi-Fi s mobilním telefonem či jiným zařízením. Objevena byla ovšem bezpečnostní zranitelnost a útočník mohl díky obejít přístup k řídicí žárovce, rozsvěcet, zhasínat a měnit konfiguraci sítě.
Než Context informace zveřejnil, upozornil výrobce a obě společnosti vyvinuly opravu, kterou lze nasadit jako aktualizaci firmwaru. Podle LIFX chybu téměř jistě nikdo nestačil zneužívat, protože odhalit ji bylo poměrně složité a vyžadovalo reverzní inženýrství. Podvodníci mohou samozřejmě trávit svůj čas podstatně efektivněji. Ačkoliv tedy v tuto chvíli jde především o zajímavou technickou kuriozitu, ukazuje, co za pár let v době Internetu věcí může být rutinním způsobem útoku.
Žárovky LIFX se začaly vyrábět v roce 2012, přičemž potřebné prostředky byly získány pomocí „startovače" KickStarter. Žárovky spolu komunikují pomocí bezdrátové sítě 802.15.4 6LoWPAN, pouze ta řídicí je připojena k Wi-Fi. Komunikace je sice šifrovaná, výzkumníci z Contextu ji však dokázali zachytit, analyzovat a zpětně zjistit, jaké signály vyvolávají jaké akce/změny nastavení. Po prolomení protokolu bylo tedy možné žárovky ovládat bez nutnosti získat přístup k hlavní žárovce, přičemž tato činnost byla navíc prakticky neviditelná. Oprava zahrnuje generování šifrovacích klíčů navázaných právě na přístup přes Wi-Fi k řídicí žárovce.
Mnozí dodavatelé propojené elektroniky zatím podle Contextu odpovídající zabezpečení prakticky ignorují.
Zdroj: The Register
PŘEDPLATNÉ
ČLÁNKY DO MAILU