וִידֵאוֹ: #NAREDE - 15.ª COPA ZONA NORTE - 11/11/2019 - IPESP CAMPEÃO (אוֹקְטוֹבֶּר 2024)
דברו על ההשלכות הביטחוניות של התרמוסטט החכם של קן, ורוב האנשים כנראה רק מושכים בכתפיים. הם מניחים שמכיוון שתרמוסטט לא יכול לגשת לכסף שלך או לשרוף את הבית שלך, שתוקף לא יטרח בזה. השנה ב"כובע השחור "הראו המגישים ייר ג'ין, גרנט הרננדס ודניאל בנטלו שיש הרבה דברים שרמת התרמוסטט יכולה לעשות.
בקן יש כמה אבטחים שנאפים, והמגישים הקפידו לתת לקן קרדיט על עבודתה של החברה. "זה מעוצב היטב ועלינו לשבח את עבודתם, " אמר ג'ין. מהר מאוד הוא עקב אחר דחף עבודתו של צוותו: "על סמך הניתוח שלנו, גילינו דלת אחורית לחומרה ודרך דלת אחורית זו נוכל לקבל שליטה מרחוק על כל המכשיר."
שובר קן
בהפגנה שלהם הצוות ניגש לקן באמצעות USB והטמין אותו בסביבות 15 שניות. ההתקפה שלהם הייתה תלויה במערכת ניפוי שאותה השאירה Nest בכוונה על המכשיר. המגישים ציינו כי זהו למעשה נהוג מקובל עבור יצרני מכשירים משובצים.
כאשר הכפתור הפיזי של הקן מוחזק למשך 10 שניות המכשיר מופעל מחדש. אבל לשבריר שנייה, זה זמין לקבל הוראות חדשות כיצד לאתחל. הצוות יצר כלי מותאם אישית שכאשר הוא מחובר ישירות לקן, עיבד מחדש את תוכנת הקן והעניק להם שליטה מוחלטת.
בעוד שההתקפה שלהם דורשת גישה פיזית, המהירות בה היא בוצעה הייתה מדהימה. תוקף יכול, להעלות על הדעת, לתפוס שליטה על קן כאשר בעליו יצא מהחדר לרגע. הם גם ציינו כי התוקפים יכולים פשוט לרכוש מכשירי קן, להדביק אותם ואז להחזיר אותם לחנות בה יימכרו מחדש.
ואל תחשוב שעדכונים מ- Nest יכולים לעזור: החוקרים אמרו כי פיתחו דרך להתקנים נגועים להסתיר קבצים מעדכוני קושחה. בנימה קלילה יותר הראו המגישים שהם יכולים להחליף את המראה המשעמם של הקן ברקעים מונפשים.
מה זה משנה
אחת מתפקודי המפתח של הקן - אכן, נקודת המכירה שלו - היא שהוא לומד את העדפות החימום והקירור שלכם. בעזרת מידע זה הוא מייעל את הטמפרטורה של הבית כך שתתאים לצרכים שלך ויחסוך לך כסף. אך המגישים מציינים כי הדבר מעניק לתוקף מידע רב על הרגלים שלך. קן נפגע, למשל, יודע מתי אתה מחוץ לבית, או בחופשה. מידע זה יכול לשמש להתקפות דיגיטליות עתידיות, או פשוט לצורך פריצה.
Nest מכיר גם את אישורי הרשת שלך ואת המיקום המשוער שלה. אולם השימוש המציק ביותר בקן פגום יהיה כראש חוף להתקפות אחרות. בואנטלו אמר שאם הייתה לו שליטה על קן נגוע בביתו של מישהו, "הייתי מנהור את כל התנועה שלך, מרחרח אחר כל מה שיכולתי למצוא." זה כולל סיסמאות, מספרי כרטיסי אשראי וכל מידע חשוב אחר.
מפחיד ככל שהצגתם הייתה, זה עדיין דרש מהתוקף גישה פיזית לתרמוסטט של קן. אולם החוקרים הבטיחו לקהל כי הם עובדים קשה בחקירת פרוטוקולי התוכנה של המכשיר, כמו Nest Weave, שלדעתם עשויים לאפשר ניצול מרחוק.
אך הגרוע מכל, אמרו המגישים, אין קורבן לספר שהם נדבקו. אחרי הכל, אינך יכול לטעון אנטי-וירוס על התרמוסטט שלך.
פרטיות
אמנם פריצה לקן הייתה הפגנה מהנה מאוד, המגישים דאגו בעיקר לפרטיות. הם ציינו שמשתמשי קסט אינם יכולים לבטל את הסכמתם לאיסוף נתונים. יתכן גם שמכשירי Nest עומדים על יותר ממה שאנחנו חושבים. "למה לעזאזל התרמוסטט שלי צריך 2 ג'יגה-בייט", שאל בואנטלו. "מה זה עושה?"
בעוד החוקרים היו ביקורתיים על החלטתו של קן לכלול את דלת האחורית של ה- USB, הם מציינים כי זה יכול לשמש למעשה על ידי אנשים בעלי אופי פרטיות כדי למנוע מהקן לאסוף נתוני משתמשים. חבר רביעי בקבוצת המחקר שלהם קשה לעבוד על עדכון קושחה מותאם אישית שינצל את הפגיעויות שנמצאו על ידי הצוות. התיקון המותאם אישית שלהם ימנע מקן לאסוף נתונים, אך עדיין יאפשר לקן לתפקד כרגיל - גם כאשר הוא מקבל את עדכוני האוויר.
בגלל מעמדו של קן כילד הפוסטר למכשירי IOT, הצוות הציב בפני הקהל שאלה מעניינת: האם הם ימשיכו להשתמש בקן בבית? הפעולות שאנו מבצעים וההחלטות לגבי מה שאנחנו מוצאים מותרות למכשירים משובצים, אמרו החוקרים, יכולות לקבוע את הסטנדרט ל -30 השנים הבאות.
תבחר בחכמה.
