Выброшенные на помойку умные лампочки — ценный источник личной информации

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,410
2,024


Современные пользователи различных устройств в большинстве своем — представители культуры потребления. Если что-то ломается, то владелец вещи просто ее выбрасывает, не задумываясь ни о возможности ремонта, ни о том, чтобы почистить девайс, убрав свои личные данные.

На свалку отправляются жесткие диски, полные данных, телефоны с контактными книжками и данными владельцев, а также умные устройства с сохраненными паролями и логинами. Поскольку редкий пользователь использует больше 2-3 логинов и паролей, то такие гаджеты могут стать для взломщиков источником ценной информации.
Несмотря на то, что такие гаджеты могут казаться просто мусором, но это, на деле, миниатюрные компьютеры с широким спектром возможностей, одна из которых — хранить ранее введенную информацию. И далеко не всегда эта информация безобидна для владельца. В качестве примера можно взять умную лампочку, которую
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
на предмет информационной безопасности представители сайта Limited Results.

Участники эксперимента приобрели на Amazon умную лампочку LIFX за 30 евро и настроили при помощи соответствующего приложения. В частности, лампочку подключили к WiFi. Затем отключили и разобрали.


Целью специалистов была плата — пришлось изрядно потрудиться, чтобы ее достать и очистить от клея. Затем девайс идентифицировали, как основанный на ESP32D0WDQ6 мини-ПК. Даташит модуля
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
. SDK и инструменты доступны
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
.

Плату подключили к FT2232H и стали изучать.



Как оказалось, доступы от беспроводной сети хранились в открытом виде.


Кроме того, гаджет вообще никак не защищен от стороннего вмешательства. Ни шифрования, ни безопасной загрузки, ничего.


Более того, корневой сертификат и частный ключ RSA были также доступны. После этого изучение лампочки завершили.


К слову, специалист не выложил свои наработки сразу же после обнаружения всего этого. Он сообщил о проблеме производителю, выждал 90 дней и только после этого все опубликовал. Возможно, компания что-то изменила, а возможно — и нет. Как бы там ни было, недостаточная защищенность современных умных устройств — значительная проблема, о которой говорят и пишут вот уже много лет. Но, к сожалению, воз и ныне там.

Уязвимость умной лампочки именно этого производителя далеко не единична. В прошлом году представители уже названного выше сайта взломали устройство компании Tuya.

Точно так же, как и предыдущий экземпляр, лампа была установлена, подключена к беспроводной сети и проверена в работе. Здесь все оказалось отлично. После лампочку разобрали и подключили к ПК.


Точно те же проблемы:

  • Доступы к беспроводной сети хранились в лампочке в открытом виде;
  • DeviceID и ключ хранились аналогично. Таким образом, можно без проблем узнать MAC лампочки. Кроме того, локальный ключ требуется для сервиса Tuya Cloud, так что его можно загрузить и использовать с какой-либо целью. Как только deviceID и ключ оказываются в руках злоумышленника, тот получает возможность невозбранно управлять гаджетом.
После сборки лампочкой без проблем стали управлять, используя загруженные с нее данные.

В общем-то, проблема не только в лампочках. Аналогичным образом данные хранятся в разного рода умных гаджетах иного рода, включая камеры, колонки, холодильники, чайники, скороварки и т.п. Благодаря слабой защищенности девайсов взломщики без проблем формируют ботнеты, размер которых может достигать многих тысяч или даже миллионов устройств. Для этого используются зловреды, которые, в отличие от защиты smart-девайсов, становятся все более совершенными и опасными.
 
  • Лайк
Reactions: Rombovod

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2022

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя