Kritická zranitelnost v chytrých domácích zařízeních Shelly vystavila více než 5,2 milionů evropských domácností neoprávněnému přístupu. Bezpečnostní výzkumníci z Pen Test Partners zjistili, že nejnovější generace (Gen 4) zařízení Shelly udržují skrytý Wi-Fi hotspot neustále aktivní, a to i po připojení k domácí síti. Tato mezera umožňuje komukoli poblíž obejít bezpečnostní opatření a potenciálně získat kontrolu nad dveřmi, branami a dalšími připojenými zařízeními.
Vysvětlena skrytá mezera
Na rozdíl od starších modelů Shelly, které dočasný hotspot po nastavení automaticky vypnou, zařízení Gen 4 jej nechávají běžet po neomezenou dobu. Tato konstrukční chyba vytváří pro hackery neviditelný vstupní bod, který jim umožňuje využívat domácí síť vlastníka bez vědomí vlastníka.
Následky jsou vážné. Útočník by mohl použít tento přístupový bod k hacknutí chytrých zámků, otevření garážových vrat nebo deaktivaci bezpečnostních systémů – to vše bez spuštění alarmu nebo zanechání jasné stopy.
Pokročilé síťové riziko
Problém přesahuje zařízení Shelly. Jedno kompromitované zařízení Gen 4 může sloužit jako brána do celé sítě chytré domácnosti, včetně zařízení od jiných výrobců. Mnoho evropských domácností míchá značky chytrých domácností, což je činí zvláště zranitelnými. Problém není v tom, že jeden produkt selže; mluvíme o kaskádových poruchách v propojených systémech.
Pomalá odezva, odpovědnost uživatele
Partneři testu pera oznámili Shelly zranitelnost, což způsobilo, že společnost vydala firmware 1.8.0 jako opravu. Aktualizace však vyžaduje ruční instalaci a většina uživatelů si není vědoma toho, že je třeba zasáhnout. Podle Kena Munroa, zakladatele Pen Test Partners, Shelly na problém reagovala pomalu kvůli obavám o svou pověst.
Shelly říká, že její mobilní aplikace pomáhá uživatelům správně zabezpečit zařízení, ale to závisí na dodržení oficiálních postupů nastavení. Uživatelé, kteří ručně konfigurují svá zařízení, jsou upozorněni, že musí zabezpečit svůj přístupový bod. Budoucí aktualizace firmwaru automaticky vypne hotspot po vypršení časového limitu, ale do té doby budou muset být majitelé domů proaktivní.
Rostoucí trend zranitelností internetu věcí
Toto není ojedinělý případ. Zařízení pro chytrou domácnost jsou stále častěji terčem hackerů, přičemž posledními oběťmi jsou zvonky Amazon Ring a bezpečnostní kamery Dahua. Hlavním problémem je spěchání na trh bez upřednostnění základních bezpečnostních opatření.
Výrobci často shromažďují uživatelská data za účelem vylepšení produktů, ale toto porušení dat by mohlo odhalit vzorce chování, které hackeři zneužívají. Problémem nejsou jen hardwarové nedostatky; je to také o špatných postupech správy dat.
“Podobné problémy jsme viděli u solárních invertorů a dokonce jsme před více než 10 lety objevili podobnou zranitelnost v autě.” – Ken Munro, partneři testu per
Zvýšení počtu připojených zařízení znamená více útočných bodů pro útočníky. Dokud výrobci nebudou standardně upřednostňovat zabezpečení, spotřebitelé zůstanou zranitelní.
Hlavní závěr je jasný: zabezpečení chytré domácnosti je jen tak silné, jak silný je její nejslabší článek. Dokud společnosti tyto zásadní nedostatky nevyřeší a spotřebitelé neučiní proaktivní kroky k ochraně svých sítí, zůstanou chytré domácnosti hlavním cílem hackerů.
