Количество разного рода «умных» устройств постоянно растет: во многих домах работают видеоняни и стиральные машины с выходом в сеть. К 2025 году общее количество девайсов, подключенных к интернету, превысит 21 млрд. Однако такие приспособления не только делают нашу жизнь проще, но и позволяют злоумышленникам красть данные или отслеживать передвижения жертвы. В своей колонке для «Собака.ru» ученый Университета ИТМО Александр Менщиков рассказывает о неожиданных угрозах, которые несут в себе популярные «умные» устройства, и о том, как можно избежать опасности (ну в самом деле, не отказываться же от любимых гаджетов?!).
С каждым днем нам все сложнее представить свою жизнь без «умных» устройств. Уже сейчас у многих дома живут роботы-пылесосы, которые составляют карту помещения при помощи Lidar-сканеров. Умные колонки включают и выключают свет по голосовой команде. Фитнес браслеты и смарт-часы измеряют фазы сна, а умная кофеварка готовит кофе аккурат к звонку будильника.
Однако каждое из этих устройств таит опасности, которыми могут воспользоваться преступники. Так, специалисты в области кибербезопасности недавно предупредили россиян об опасностях смарт-часов. Из-за уязвимости технологии Bluetooth мошенники могут получить доступ к устройству, а через него к подключенному смартфону. Это позволит украсть пароли, данные банковских карт. Кроме того, преступники с помощью взломанного устройства могут следить за передвижениями его владельца. Однако угроза может исходить и от других девайсов, причем самая неожиданная!
Робот-пылесос
«Умные» пылесосы способны делать уборку самостоятельно, перемещаясь по квартире, запоминая планировку помещений. Для этого они используют около десятка Lidar-датчиков. Встроенный интернет-модуль позволяет получать команды от пользователя через специальное приложение.
В 2020 году ученые из Университета Сингапура представили занятное исследование о том, как можно использовать умный пылесос, оснащенный Lidar-сканером в качестве микрофона, который позволяет подслушивать разговоры в помещении. Взломанный пылесос детектировал незначительные вибрации предметов от звуковых волн в помещении с помощью лазерного датчика. Эти вибрации в дальнейшем расшифровывались в текст с помощью специально обученной нейронной сети.
И хотя для того, чтобы использовать эту атаку, необходимо получить доступ к роботу-пылесосу, нет гарантии, что такого доступа не имеет сам производитель устройства. Наилучшим способом избежать подобных рисков может быть приобретение устройства от именитого производителя, который дорожит своей репутацией. К счастью, подобные атаки пока далеки от массового использования.
Умная колонка
Последние несколько лет постоянно появляются новости о том, что умные колонки позволяют себе лишнего: собирают больше данных, чем необходимо, и сохраняют больше разговоров, чем того требуется. И хотя крупные компании ограничены пристальным вниманием к безопасности их устройств, сложно представить, какие возможности появляются у злоумышленников, если все-таки удалось подключиться к устройству с микрофоном или камерой (как в продвинутых умных помощниках).
В таком случае защититься поможет разве что аппаратная кнопка отключения микрофона на устройстве, предусмотренная производителем. И конечно, своевременное обновление программного обеспечения.
Есть интересное исследование от ученых из Университета Мичигана и Университета электросвязи в Токио о том, как при помощи обычного лазера можно передавать умной колонке сигналы, которые будут распознаваться как голосовые команды. Такая атака открывает злоумышленнику возможности управления любыми подключенными к колонке устройствами (что открывает преступникам широкие возможности: от покупки товаров в интернет-магазинах до отправки команды об отключении сигнализации). Кажется, что защититься от такой угрозы можно только расположением колонки без прямой видимости через окно.
Видеоняни и умные камеры
Умные камеры с удаленным доступом через интернет часто используются для того, чтобы следить за домашними животными, оставленными дома или маленькими детьми, за которыми присматривают няни.
Однако регулярно в сеть утекают тысячи часов видео. Зачастую злоумышленникам даже не требуется специальных навыков. Так, один исследователь при помощи простого сканирования сети получил доступ к роутеру без пароля и к камерам наблюдения одной из крупнейших российских компаний. Так что после приобретения и настройки умного девайса очень важно сменить заводской пароль (обычно он не слишком надежен).
Умные кормушки
Эти устройства позволяют автоматически кормить животных по часам, даже когда вас нет дома, но и в них есть свои проблемы. В 2019 году стал известен случай взлома умной кормушки одного из производителей. Из-за небезопасного программного интерфейса для удаленного управления устройством стало возможно загрузить туда произвольную прошивку. Такие уязвимости напрямую угрожают жизни и здоровью питомцев.
Иногда защититься от подобных угроз можно путем настройки VPN для доступа к внутренней сети, что требует некоторых навыков, либо покупки специальных роутеров, упрощающих настройку такой функции. Впрочем, не всегда это возможно из-за того, что производители устройств завязывают все управление на собственные «облака». В таком случае обычному пользователю ничего не поделать, кроме как отказаться от использования устройства или купить аналог от более надежного производителя.
Александр Менщиков
доцент Университета ИТМО, сотрудник международного научно-образовательного центра «Безопасность и надежность критических цифровых технологий»
Универсальных советов по защите от угроз для подобных устройств не существует, но можно дать общие рекомендации, которым стоит следовать при покупке любого девайса: от роутера до ноутбука.
1) Устанавливайте безопасные пароли. Очень часто производители оставляют пароли уровня admin/123456
2) Своевременно обновляйте программное обеспечение. Если ваше мобильное приложение уведомляет о необходимости обновить прошивку умного устройства, смело делайте. В случае крупной уязвимости даже неделя простоя может привести к взлому вашего девайса.
3) Изолируйте ваши устройства. Например, подключите их к гостевой Wi-Fi-сети или вовсе отключите от Интернета, если устройство это позволяет. Например, умную розетку можно подключить к изолированной Wi-Fi сети без интернета. А умный датчик температуры вообще может работать по Bluetooth соединению и не нуждается в доступе в Интернет.
4) Используйте двухфакторную аутентификацию. Это существенно усложнит несанкционированный доступ к устройствам, так как злоумышленнику придется делать двойную работу. Например, для некоторых действий умного помощника можно включить подтверждение через PIN-код.
Комментарии (0)