A Shelly új Gen 4 otthoni biztonsági eszközeinek jelentős tervezési hibája európai otthonok millióit teheti nyitva támadásoknak – állítja a Pen Test Partners.
Egy kiberbiztonsági tanácsadó cég biztonsági kutatói azt állítják, hogy komoly sebezhetőséget fedeztek fel a Shelly smart home termékekben, egy európai otthoni biztonsági rendszer-szolgáltatóban.
Jelenleg a Shelly termékeket több mint 5,2 millió európai otthonban használják. Ez a tervezési probléma láthatatlan hátsó ajtót hoz létre a magánlakásokba, amelyet a legtöbb felhasználó soha nem talál meg, állítja a Pen Test Partners.
A Shelly új Gen 4 intelligens otthoni eszközei folyamatosan bekapcsolva tartják a kezdeti konfigurációhoz szükséges nyitott vezeték nélküli hozzáférési pontot, még az otthoni Wi-Fi hálózathoz való megfelelő csatlakozás után is – állítja a Pen Test Partners. Ez egy rejtett hálózatot hagy a háttérben, a felhasználó tudta vagy beleegyezése nélkül, jóval a telepítés után.
Ezzel szemben a cég korábbi modelljei automatikusan kikapcsolták ezt a hozzáférési pontot, miután az eszközt egy otthoni Wi-Fi hálózathoz csatlakoztatták.
Ez a hiba lehetővé teheti, hogy bárki, aki magánlakáson kívül áll, a lakója Wi-Fi hálózatát használja a bejárati ajtó, a garázsajtó vagy a kapu kinyitásához, ami a betörés és a betörés fizikai biztonsági kockázatát jelentheti.
A probléma azonban sokkal mélyebbre nyúlik. A Pen Test Partners által végzett szélesebb körű vizsgálat szerint ez több, mint egyszerű tervezési probléma.
A jelenlegi Gen 4 sebezhetőség azt jelenti, hogy egyetlen érintett eszköz ugródeszkaként használható szinte minden intelligens otthoni eszközhöz – függetlenül attól, hogy Shelly termékekről van-e szó vagy sem.
Mivel Európa-szerte sok okosotthon továbbra is vegyes generációs hálózatokat működtet, mind a Shelly-vel, mind más termékekkel, ez komoly védelemhiányt okozhat – online és offline egyaránt.
Korrekciós intézkedés még nem történt
A Pen Test Partners azt mondta, hogy értesítette a Shellyt erről a biztonsági hiányosságról, és a cég szerint a Firmware 1.8.0, az eszközfrissítések sorozata orvosolni fogja ezt a hibát.
Emiatt a felhasználók manuálisan letilthatják a hozzáférési pontokat, amiről a legtöbb lakástulajdonos nem is tudja, hogy ezt meg kell tennie.
„Nagy kommunikációs kampányt kellene folytatniuk, hogy elmagyarázzák, hogy egy hozzáférési pont nyitva maradt, és elmagyarázzák, hogyan lehet kikapcsolni. Nem tették meg, mert valószínűleg hatással lesz a hírnevükre” – mondta Ken Munro, a Pen Test Partners alapítója az 2022 Plusz Nextnek.
Shelly elmondta az 2022 Plusz Nextnek, hogy azok a felhasználók, akik a hivatalos beállítási módszereket követik a mobilalkalmazásukon keresztül, automatikusan letiltják a hozzáférési pontot.
A kézi konfigurációt választó felhasználók figyelmeztetéseket kapnak a hozzáférési pont biztonságossá tétele érdekében. Egy közelgő firmware-frissítés egy időkorlát után automatikusan letiltja a hozzáférési pontokat.
„Szeretnénk hangsúlyozni, hogy a Shelly ökoszisztémán belüli összes konfigurációs folyamat és digitális eszköz – beleértve a mobilalkalmazásunkat és a webfelhő felületünket is – egyértelmű útmutatást ad a felhasználóknak az eszközeik biztonságossá tételéhez” – mondta a Shelly szóvivője az 2022 Plusz Nextnek.
„A javasolt munkafolyamatokon kívül meghozott konfigurációs döntések, beleértve a hozzáférési pont nem biztonságossá tételét is, végső soron a felhasználó preferenciáitól függenek, és nem tartoznak a közvetlen platformvezérlés hatálya alá.
„Mint minden csatlakoztatott eszköz esetében, a felhasználók továbbra is szabadon konfigurálhatják hardverüket saját igényeik szerint, és aktívan bátorítjuk őket, hogy kövessék a telepítés során megadott biztonsági ajánlásokat” – tette hozzá.
A Shelly azt is kiemelte, hogy olyan fejlesztést vezetne be, amely lehetővé teszi a hozzáférési pont automatikus letiltását egy előre meghatározott időtúllépés után, kivéve, ha erre kifejezetten szükség van a konfiguráláshoz vagy a kiépítéshez, egy közelgő firmware-kiadásban.
A csatlakoztatott eszközök sebezhetőségeinek növekvő tendenciája
Az elmúlt néhány évben egyre több okosotthon és más csatlakoztatott eszköz került kritika alá jelentős sebezhetőség miatt. Ez magában foglalja az Amazon Ring csengőit és a Dahua biztonsági kamerákat.
„A mi szakterületünk a csatlakoztatott eszközök, és mindenféle intelligens otthoni rendszert tesztelünk” – jegyezte meg Munro.
„Láttunk már hasonló problémákat a napelemes invertereknél, sőt több mint 10 évvel ezelőtt egy autóban is találtunk hasonló sebezhetőséget.”
Egy másik kulcsfontosságú probléma az adatszivárgás, különösen, ha használati és viselkedési adatokról van szó ezekről az intelligens otthoni eszközökről.
„Néha azt tapasztaljuk, hogy az emberek használati és viselkedési adatai véletlenül kiszivárogtak. Az okoseszközök gyártói használati adatokat gyűjtenek termékeik fejlesztése érdekében, és gyakran elfelejtik, hogy az egyéni adatok meglehetősen informatívak lehetnek” – mondta Munro.
