Krytyczna luka w inteligentnych urządzeniach domowych Shelly naraziła ponad 5,2 miliona europejskich domów na nieautoryzowany dostęp. Badacze bezpieczeństwa w Pen Test Partners odkryli, że urządzenia Shelly najnowszej generacji (4. generacji) utrzymują ukryty hotspot Wi-Fi przez cały czas, nawet po podłączeniu do sieci domowej. Ta luka pozwala każdemu w pobliżu ominąć środki bezpieczeństwa, potencjalnie przejmując kontrolę nad drzwiami, bramami i innymi podłączonymi urządzeniami.
Wyjaśnienie ukrytej luki
W przeciwieństwie do starszych modeli Shelly, które automatycznie wyłączają tymczasowy hotspot po konfiguracji, urządzenia Gen 4 pozostawiają go włączonego na czas nieokreślony. Ta wada projektowa tworzy niewidzialny punkt wejścia dla hakerów, umożliwiając im wykorzystanie sieci domowej właściciela bez jego wiedzy.
Konsekwencje są poważne. Osoba atakująca może wykorzystać ten odsłonięty punkt dostępu do włamania się do inteligentnych zamków, otwarcia bram garażowych lub wyłączenia systemów bezpieczeństwa – a wszystko to bez wywoływania alarmu i pozostawiania wyraźnego śladu.
Zaawansowane ryzyko sieciowe
Problem wykracza poza urządzenia Shelly. Jedno zainfekowane urządzenie Gen 4 może służyć jako brama do całej inteligentnej sieci domowej, w tym urządzeń innych producentów. Wiele europejskich gospodarstw domowych miesza marki inteligentnych domów, przez co są one szczególnie podatne na zagrożenia. Problem nie polega na tym, że jeden produkt zawodzi; mówimy o kaskadowych awariach w połączonych systemach.
Powolna reakcja, odpowiedzialność użytkownika
Firma Pen Test Partners powiadomiła Shelly o luce, co spowodowało, że firma wypuściła wersję oprogramowania 1.8.0 jako poprawkę. Aktualizacja wymaga jednak ręcznej instalacji i większość użytkowników nie jest świadoma konieczności podjęcia działań. Według Kena Munro, założyciela Pen Test Partners, Shelly powoli reagowała na problem ze względu na obawy o swoją reputację.
Shelly twierdzi, że jej aplikacja mobilna pomaga użytkownikom odpowiednio zabezpieczyć urządzenia, ale zależy to od przestrzegania oficjalnych procedur konfiguracji. Użytkownicy, którzy ręcznie konfigurują swoje urządzenia, są ostrzegani, że muszą zabezpieczyć swój punkt dostępu. Przyszła aktualizacja oprogramowania sprzętowego automatycznie wyłączy hotspot po upływie limitu czasu, ale do tego czasu właściciele domów będą musieli zachować proaktywną postawę.
Rosnący trend dotyczący luk w zabezpieczeniach IoT
To nie jest odosobniony przypadek. Inteligentne urządzenia domowe są coraz częściej celem hakerów, a najnowszymi ofiarami są dzwonki do drzwi Amazon Ring i kamery bezpieczeństwa Dahua. Głównym problemem jest pośpiech wprowadzania produktów na rynek bez priorytetowego traktowania podstawowych środków bezpieczeństwa.
Producenci często gromadzą dane użytkowników w celu ulepszenia produktów, ale to naruszenie danych może ujawnić wzorce zachowań wykorzystywane przez hakerów. Problemem nie są tylko braki sprzętowe; chodzi także o złe praktyki zarządzania danymi.
„Zaobserwowaliśmy podobne problemy w falownikach fotowoltaicznych, a ponad 10 lat temu odkryliśmy podobną lukę w samochodzie”. – Ken Munro, partnerzy w testowaniu pióra
Wzrost liczby podłączonych urządzeń oznacza więcej punktów ataku dla atakujących. Dopóki producenci nie będą domyślnie traktować bezpieczeństwa jako priorytetu, konsumenci pozostaną bezbronni.
Główny wniosek jest jasny: bezpieczeństwo inteligentnego domu jest tak mocne, jak jego najsłabsze ogniwo. Dopóki firmy nie naprawią tych podstawowych błędów, a konsumenci nie podejmą proaktywnych kroków w celu ochrony swoich sieci, inteligentne domy pozostaną głównym celem hakerów.
