Уязвимости в охранных системах для «умного дома» позволяют злоумышленникам без ведома пользователей отключать сигнализацию и предупреждения о вторжении.

«IoT-устройства стремительно набирают популярность, и ожидается, что они будут делать свой вклад в обеспечение нашей безопасности. Тем не менее, мы обнаружили в этих устройствах распространенные уязвимости, позволяющие отключать предупреждения и другие функции безопасности», — сообщил профессор компьютерных наук Университета штата северная Каролина (США) Уильям Энк (William Enck).

Энк вместе с коллегами изучил устройства для «умного дома» и нашел ряд ошибок, допущенных во время их проектирования. «По существу, устройства разрабатываются с учетом того, что беспроводное соединение является безопасным и работает без сбоев. Однако это не всегда так», – отметил коллега Энка Брэдли Ривс (Bradley Reaves).

По словам исследователей, если злоумышленник взломает домашний маршрутизатор (или ему известен пароль), он может загрузить на него вредоносное ПО, блокирующее сигналы датчиков о вторжении. Вредонос позволяет устройствам производить heartbeat-сигналы и тем самым показывать, что они подключены к сети и функционируют, но блокирует сигналы от датчиков при несанкционированном вторжении. Другими словами, система показывает, что находится в рабочем состоянии, но при этом не выполняет свои охранные функции.

Подобные атаки возможны, поскольку heartbeat-сигналы многих IoT-устройств можно легко отделить от остальных сигналов. Для решения проблемы производители IoT-устройств должны сделать heartbeat-сигналы неотделимыми от остальных. В таком случае вредоносное ПО не сможет различать их и подавлять только сигналы о вторжении.

Heartbeat-сигнал – периодический сигнал, генерируемый аппаратным или программным обеспечением для индикации нормальной работы или для синхронизации других частей компьютерной системы. Обычно heartbeat-сигнал передается между компьютерами через регулярные промежутки времени приблизительно в несколько секунд.

Источник: securitylab.ru