Videó: Fix Nest Thermostat Issues by Installing a C Wire (November 2024)
Beszéljen a Nest intelligens termosztát biztonsági következményeiről, és a legtöbb ember valószínűleg csak vállat vont. Feltételezik, hogy mivel a termosztát nem fér hozzá a pénzéhez, vagy leégheti a házát, az a támadó nem zavarja. Az idei Black Hat rendezvényen Yier Jin, Grant Hernandez és Daniel Buentello műsorvezetők megmutatták, hogy a termosztát félelmetesen sok mindent képes megtenni.
A Nestnek van valami biztonsága. "Nagyon jól megtervezték, és dicsérnünk kellene munkáját" - mondta Jin. Gyorsan követte csapata munkájának lendületét: "elemzéseink alapján kitaláltuk a hardveres hátsó ajtót, és ezen a hátsó ajtón keresztül vezérelhetjük az egész eszközt."
A fészek törése
A demonstráción a csapat USB-n keresztül jutott el a Nesthez, és körülbelül 15 másodperc alatt gyökereztette azt. Támadásuk egy hibakeresési rendszertől függött, amelyet Nest szándékosan hagyott az eszközön. Az előadók rámutattak, hogy ez valójában a beágyazott eszközök gyártói általánosan alkalmazott gyakorlat.
Amikor a Nest fizikai gombját 10 másodpercig lenyomva tartja, az eszköz újraindul. De egy pillanatra egy új útmutatást kaphat a rendszerindításról. A csapat létrehozott egy egyedi eszközt, amely közvetlenül a Nesthez kapcsolódva átdolgozta a Nest szoftverét, így teljes távvezérlést biztosítva számukra.
Noha a támadás fizikai hozzáférést igényel, a támadás sebessége figyelemre méltó volt. A támadó elképzelhetően megragadhatja a Fészek irányítását, amikor a tulajdonos egy pillanatra kilépett a szobából. Arra is rámutattak, hogy a támadók egyszerűen megvásárolhatják a Nest eszközöket, megfertőzhetik azokat, majd visszajuttathatják az üzletbe, ahol újra eladják őket.
És ne gondolja, hogy a Nest frissítései segíthetnek: a kutatók szerint a fertőzött eszközök számára kidolgozták a fájlok elrejtésének módját a firmware frissítésektől. A könnyebb hangon a műsorvezetők bebizonyították, hogy a Nest unalmas megjelenését animált háttérrel helyettesíthetik.
Mit számít?
A Nest egyik legfontosabb funkciója - sőt, értékesítési pontja - az, hogy megtanulja a fűtési és hűtési beállításokat. Ezekkel az információkkal optimalizálja otthonának hőmérsékletét, hogy megfeleljen az Ön igényeinek, és pénzt takarítson meg. Az előadók azonban rámutatnak, hogy ez sok információt ad a támadónak szokásairól. A veszélyeztetett fészek például tudja, mikor van a házban, vagy nyaralik. Ez az információ felhasználható jövőbeli digitális támadásokhoz vagy egyszerűen betöréshez.
A Nest is ismeri hálózati hitelesítő adatait és hozzávetőleges helyét. A sérült fészket leginkább félelmetes módon más támadásokkal kell szembenézni. Buentello azt mondta, hogy ha valaki otthonában ellenőrzést gyakorol a fertőzött fészek felett, "átjárom az összes forgalmát, bármit szimatolok, amit találok." Ez magában foglalja a jelszavakat, hitelkártya-számokat és minden egyéb értékes információt.
Bármennyire félelmetes is volt a bemutatás, a támadónak továbbra is fizikai hozzáférést kellett adnia a Nest termosztátokhoz. A kutatók azonban biztosították a közönséget, hogy keményen dolgoznak az eszköz szoftverprotokolljainak felfedezésében, mint például a Nest Weave, amelyek véleményük szerint lehetővé teszik a távoli kiaknázást.
De ami a legrosszabb, az előadók szerint az áldozatoknak nem állíthatják, hogy fertőzöttek. Végül is nem tölthet be víruskeresőt a termosztátra.
Magánélet
A Nest feltörése nagyon szórakoztató bemutató volt, az előadók főként a magánélet miatt voltak aggódva. Rámutattak arra, hogy a Nest-felhasználók nem hagyhatják ki az adatgyűjtést. Az is előfordulhat, hogy a Nest eszközök sokkal többet kínálnak, mint gondolnánk. "Mi az ördög miatt van szükség a termosztátomra 2 gigabájtra" - kérdezte Buentello. - Mit csinál?
Miközben a kutatók kritikusak voltak a Nest azon döntése mellett, hogy beépítik az USB hátsó ajtót, rámutatnak, hogy a magánélet védelmében gondolkodó személyek azt ténylegesen felhasználhatják annak megakadályozására, hogy a Nest felhasználói adatokat gyűjtsön. Kutatócsoportjuk negyedik tagja keményen dolgozik egy egyedi firmware-frissítéssel, amely kihasználja a csoport által észlelt sebezhetőségeket. Az egyedi javításuk megakadályozza a Nest-et az adatgyűjtéstől, de továbbra is lehetővé teszi a Nest normál működését - még akkor is, ha levegőben frissítéseket kap.
Mivel a Nest az IOT-eszközök poszter gyermekeként szerepelt, a csapat érdekes kérdést tett fel a közönség számára: továbbra is otthon használja a Nest-et? A kutatók szerint az elvégzett tevékenységek és a beágyazott eszközök számára elfogadható döntések meghatározhatják a következő 30 évre vonatkozó előírásaikat.
Válassz bölcsen.
