Szerző: Hlács Ferenc

2015. augusztus 8. 15:30

Kritikus biztonsági rést találtak a Zigbee szabványban

A teljes hálózat felett átvehetik az uralmat a támadók, a ZigBee vezeték nélküli szabványban fellelt legújabb sebezhetőséget kihasználva. A Cogonsec által demonstrált kritikus hiba számos gyártó IoT termékeit érinti.

Kritikus sebezhetőséget találtak a Cognosec biztonsági szakértői a ZigBee vezeték nélküli kommunikációs szabványban. A számos IoT eszköz által használt technológiában felbukkant biztonsági rést a kutatók Las Vegas-i Black Hat konferencián demonstrálták - azt kihasználva támadók az adott hálózaton lévő összes készülék fölött átvehetik az uralmat.

A probléma abból ered, hogy a szabványt használó eszközök a kapcsolatlétesítés elején egy nem biztonságos kulcsátvitelt végeznek, amelynek során a gyártók egy alapértelmezett kulcsot használnak - ennek birtokában a támadók egyszerűen csatlakozhatnak az adott hálózathoz, majd a rajta lévő eszközöket felkutatva parancsokat is adhatnak azoknak. A ZigBee hálózaton ugyanis a csatlakozott készülékek, a kommunikációhoz különböző alkalmazásprofilokat használnak, amelyeken a szabvány által definiált parancsok küldhetők. Miután ezek előre meghatározott, ismert utasítások (például a hőmérséklet szabályozására vagy egy lámpa felkapcsolására) a támadók egy-egy hálózatba bejutva könnyedén igába hajthatják azokat, például az okosotthon-kiegészítők feletti irányítás átvételére.

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A Cognosec szerint elsősorban azért kerülnek piacra sebezhető IoT eszközök tömegei, mert a vállalatok könnyű kezelhetőséget kezelik a legfontosabb tényezőként - gyakran a biztonság rovására. Az egyes cégek termékeinek ráadásul a felhasználóbarát működéshez egymással is kompatibilisnek kell lenniük, a gyártók emellett az árakat is igyekeznek alacsonyan tartani. A kutatók szerint épp a költségek leszorítása lehet a fő oka a hasonló biztonsági hibák megjelenésének. A ZigBee-t egyébként többek között a Samsung, a Philips, a Motorola és a Texas Instruments is használja termékeiben.

A biztonsági szakértők tesztjeik során sikerrel vették át a kontrollt okosvillanykörték, -hőmérők, sőt ajtózárak fölött is - bár egy villogó lámpa még nem jelent komolyabb veszélyt, azt valószínűleg nem kell ecsetelni, hogy a ZigBee-t használó okoszárak a frissen felfedezett sebezhetőség fényében milyen biztonsági kockázatot hordoznak. Az eszközöket továbbá a felhasználóknak nem is áll módjában biztonságosabbá tenni, az okosotthon-kiegészítő IoT termékek döntő többsége semmilyen opcionálisan választható, plusz biztonsági funkciót nem tartalmaz.

A kutatók eredményeiről az érdeklődők részletesebben is olvashatnak, a Cognosec a témában megjelent tanulmányában.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról