Mellékleteink: HUP | Gamekapocs
Keres

Kritikus biztonsági rést találtak a Zigbee szabványban

Hlács Ferenc, 2015. augusztus 08. 15:30
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A teljes hálózat felett átvehetik az uralmat a támadók, a ZigBee vezeték nélküli szabványban fellelt legújabb sebezhetőséget kihasználva. A Cogonsec által demonstrált kritikus hiba számos gyártó IoT termékeit érinti.

hirdetés

Kritikus sebezhetőséget találtak a Cognosec biztonsági szakértői a ZigBee vezeték nélküli kommunikációs szabványban. A számos IoT eszköz által használt technológiában felbukkant biztonsági rést a kutatók Las Vegas-i Black Hat konferencián demonstrálták - azt kihasználva támadók az adott hálózaton lévő összes készülék fölött átvehetik az uralmat.

A probléma abból ered, hogy a szabványt használó eszközök a kapcsolatlétesítés elején egy nem biztonságos kulcsátvitelt végeznek, amelynek során a gyártók egy alapértelmezett kulcsot használnak - ennek birtokában a támadók egyszerűen csatlakozhatnak az adott hálózathoz, majd a rajta lévő eszközöket felkutatva parancsokat is adhatnak azoknak. A ZigBee hálózaton ugyanis a csatlakozott készülékek, a kommunikációhoz különböző alkalmazásprofilokat használnak, amelyeken a szabvány által definiált parancsok küldhetők. Miután ezek előre meghatározott, ismert utasítások (például a hőmérséklet szabályozására vagy egy lámpa felkapcsolására) a támadók egy-egy hálózatba bejutva könnyedén igába hajthatják azokat, például az okosotthon-kiegészítők feletti irányítás átvételére.

A Cognosec szerint elsősorban azért kerülnek piacra sebezhető IoT eszközök tömegei, mert a vállalatok könnyű kezelhetőséget kezelik a legfontosabb tényezőként - gyakran a biztonság rovására. Az egyes cégek termékeinek ráadásul a felhasználóbarát működéshez egymással is kompatibilisnek kell lenniük, a gyártók emellett az árakat is igyekeznek alacsonyan tartani. A kutatók szerint épp a költségek leszorítása lehet a fő oka a hasonló biztonsági hibák megjelenésének. A ZigBee-t egyébként többek között a Samsung, a Philips, a Motorola és a Texas Instruments is használja termékeiben.

A biztonsági szakértők tesztjeik során sikerrel vették át a kontrollt okosvillanykörték, -hőmérők, sőt ajtózárak fölött is - bár egy villogó lámpa még nem jelent komolyabb veszélyt, azt valószínűleg nem kell ecsetelni, hogy a ZigBee-t használó okoszárak a frissen felfedezett sebezhetőség fényében milyen biztonsági kockázatot hordoznak. Az eszközöket továbbá a felhasználóknak nem is áll módjában biztonságosabbá tenni, az okosotthon-kiegészítő IoT termékek döntő többsége semmilyen opcionálisan választható, plusz biztonsági funkciót nem tartalmaz.

A kutatók eredményeiről az érdeklődők részletesebben is olvashatnak, a Cognosec a témában megjelent tanulmányában.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.