Утюги с нелегальным Wi-Fi, пылесосы-разведчики и джакузи-информаторы: как избежать слежки в собственной квартире

Что произошло

Исследователь в области кибербезопасности обнаружил серьезные уязвимости в cистеме SmartTub для управления «умными» джакузи, пишет Tech Crunch. Итону Звиру удалось получить доступ к личным данным владельцев ванн Jacuzzi Brands.

• SmartTub, как и большинство систем интернета вещей (IoT), позволяет удаленно подключаться к технике. В данном случае — к гидромассажной ванне через одноименное приложение для Android и iOS. C помощью него можно, например, контролировать температуру воды в джакузи, включать и выключать струи, менять освещение, а также отправлять производителю диагностические данные.
• Управлять настройками можно также с помощью голосовых ассистентов Alexa, Google Assistant или часов Apple Watch.
• Пока неясно, как много пользователей могут столкнуться с утечкой личной информации, но в Google Play приложение загрузили уже более 10 тыс. раз.

Детали 

Хакеру удалось обмануть систему безопасности приложения и зайти в него как администратору.

• В результате он обнаружил множество пользовательских данных, включая имена и электронные почты — информацию о владельце можно было не только получить, но и удалить. Приложение также позволяло изменять серийные номера джакузи и просматривать список лицензированных дилеров.
• Специалисту удалось заполучить информацию сразу о нескольких дочерних брендах Jacuzzi Brands, причем не только в США. Среди них Sundance Spa, D1 Spas и ThermoSpas.
• Звир предупредил, что злоумышленники теоретически могут, например, «вскипятить» владельца прямо во время использования ванной или нарушить работу фильтров, что приведет к поломке.

Контекст 

Звир сообщил Jaсuzzi об уязвимости системы. Как отмечает Tech Crunch, компания приняла информацию к сведению. Однако официального подтверждения того, что Jaсuzzi устранила все проблемы, нет.

• Компания базируется в Калифорнии. В штате очень серьезно относятся к информационной безопасности. С 2020-го там действует специальный закон «Безопасность подключенных устройств». Производители должны устанавливать на все свои устройства уникальный пароль («admin» или «123456» запрещены) либо добавлять аутентификацию.
• При этом закон не обязывает обновлять ПО при обнаружении багов. Обычно это делают только крупные компании вроде Amazon, Apple или Google. 

Киберпреступники могут не только взломать приложение для управления «умными» устройствами, но и получить доступ к самим девайсам, например если они подключены к Wi-Fi. 

• Ни блокировка экрана, ни выключение самого устройства не гарантируют того, что оно не «наблюдает» за владельцем через камеру или не «слушает» его разговоры через микрофон.
• Чтобы обезопасить себя от утечки личных данных, эксперты советуют устанавливать сложные пароли для разблокировки смартфона, а также для сети Wi-Fi, скачивать приложения только из проверенных источников, применять двухфакторную аутентификацию при проведении платежей, установить антивирус для роутера, регулярно обновлять ПО. 

Кроме того, надо «уметь» обращаться с «умными» устройствами.

• Эксперты советуют не обсуждать то, что хотелось бы сохранить в секрете, в присутствии «умных» приборов. 
• Для того чтобы точно исключить возможность слежки, «умную» кофеварку, например, надо обесточить, часы — положить в экранирующий чехол, колонку — заглушить (с помощью ультразвуковых подавителей). 
• Нужно с осторожностью относиться к тем устройствам, которые запрашивают данные о местоположении.

Прецедент

По данным израильской компании-разработчика ПО SAM Seamless Network, только в 2021 году хакеры атаковали IoT-устройства более миллиарда раз. Специалисты в области кибербезопасности часто исследуют подобные системы, чтобы выявить их слабые места. 

• В 2022 году им удалось без особого труда взломать роботов компании Aethon, которые «работают» в больницах по всему миру. Эксперты заявили, что, получив доступ к робопомощникам, можно нарушить схемы транспортировки лекарств и лабораторных образцов по больнице, заблокировать больничные лифты и вообще «устроить хаос» в медучреждении.
• В 2019 году активисты обнаружили незащищенную базу данных китайского IoT-провайдера Orvibo. Всего было скомпрометировано около 2 млрд записей, включая имена пользователей из разных стран, адреса электронной почты, пароли, коды сброса настроек, сведения о геолокации, записи с «умных» камер.

Концепция IoT предполагает, что «умными» становятся не только смартфоны, часы или браслеты. Колонки, лампочки, кофеварки, пылесосы, весы и даже зубные щетки можно оснастить функцией беспроводной связи для передачи данных по сети. 

• Например, в 2020 году в результате ошибки ПО камера видеонаблюдения Xiaomi подключалась к камерам в других домах, и ее владельцы наблюдали за тем, что происходит в домах у совершенно незнакомых людей.
• В 2017-м роботы-пылесосы Roomba были «пойманы» на том, что передавали в сеть виртуальную карту жилища, которую составляли на основе своих перемещений по дому.
• Были случаи, когда пользователей атаковали или заваливали спамом с помощью китайских утюгов. Оказалось, что на производстве спрятали Wi-Fi адаптеры, которые позволяли свободно подключаться к любым незащищенным компьютерам в радиусе 200 метров.
• В 2016 году в Сети появилось любопытное фото Марка Цукерберга. На нем видно, что основатель Meta* заклеил веб-камеру на собственном ноутбуке.

Фото обложки: sundance.lv

* Признана экстремистской в России.