6

A co jeśli Twój domowy odkurzacz bezczelnie Cię szpieguje?

cyberprzestępstwo
Urządzenia IoT mogą być przydatne, jednak coraz więcej sygnałów dotyczy niebezpieczeństw, jakie mogą powodować znajdujące się w nich luki. Dongguan Diqee 360 to niezbyt popularne urządzenie w naszym kraju, niemniej niektórzy sięgają po nie jako tańsze alternatywy dla dobrze znanych produktów iRobot.

Dongguan Diqee 360 robią praktycznie wszystko to, co lepiej znane „samodzielne” odkurzacze – lepiej lub gorzej. Nie napawa optymizmem jednak fakt, iż te sprzęty charakteryzują się dwiema bardzo niebezpiecznymi podatnościami, które uprawniają atakującego do uruchomienia złośliwego kodu. Ten zaś powoduje, iż haker otrzymuje uprawnienia superusera i ostatecznie przejmuje kontrolę nad urządzeniem.

Samodzielne odkurzacze często są wyposażone w kamery zdolne pracować nawet w ciemnościach oraz interfejsy sterowania, które pozwalają na wykonywanie określonych akcji np. za pomocą smartfona. Połączenie zdalnego sterowania oraz dostępu do kamery urządzenia powoduje, że wprawny atakujący będzie w stanie np. użyć urządzenia do „zeskanowania” domu w poszukiwaniu cennych rzeczy.

Bo kto zmienia domyślny kod administratora?

Dongguan Diqee 360 trafiają do użytkowników z domyślnymi hasłami administratora ustawionymi na: „888888”, które są zmieniane niesamowicie rzadko. Ten fakt powoduje iż przejęcie kontroli nad urządzeniem jest wręcz trywialnie proste, jeżeli tylko użytkownik wykaże się niedostateczną ostrożnością. Dalej idąc może być już w stanie wgrać złośliwe oprogramowanie do urządzenia po to, aby móc wykorzystać jego funkcje – zdalnie.

odkurzacz diqee

Inna podatność skupia się na bezpośrednim dostępie do urządzenia – okazuje się, że za pomocą zwykłej karty microSD można wprowadzić do odkurzacza złośliwe oprogramowanie pozwalające na podobne rzeczy, co wyżej opisana metoda. Znalazca podatności, firma Positive Technologies twierdzi, że podobne problemy mogą trawić inne sprzęty Dongguan – inteligentne dzwonki do drzwi, kamery monittoringu, DVR-y i inne.

Będzie łatka? Nie spodziewajcie się jej szybko

Jak wykazuje Positive Technologies, wszystkie te podatności można w prosty sposób załatać. Tyle, że Dongguan nie odpowiada na prośby kontaktów nie tylko z mediów, ale i innych organizacji zajmujących się cyberbezpieczeństwem. Oznacza to mniej więcej tyle, że nie warto na razie czekać na jakąkolwiek próbę naprawienia tych błędów. Warto więc zmienić domyślne hasło administratora i uważać na wszelkie osoby, które próbują dostać się do portu microSD naszego odkurzacza.

Ta sytuacja dobitnie pokazuje, jak bardzo niebezpieczne są urządzenia IoT, jeżeli te nie są odpowiednio zabezpieczone przez ich producentów. Jako użytkownicy, powinniśmy zwracać uwagę m. in. na domyślne hasła dostępowe do urządzeń i zmieniać je, gdy tylko zaczniemy z nich korzystać. Cyberprzestępcy – jeżeli mogą, bardzo chętnie chwytają się pewnych ułatwień w trakcie ataków i równie często korzystają ze zwykłej socjotechniki. Warto, aby nie dać im szans na to, by dokonać udanego ataku.