На конференции Kiwicon в Веллингтоне дуэт американских исследователей заронил семена тревоги в души всех любителей барбекю. Как выявило их исследование, подключаемые к Интернету «умные грили» (да, они существуют!) подвержены атакам.
Хакеры Мэтью Гэрретт (Matthew Garrett) и Пол МакМиллан (Paul McMillan), специализирующиеся на взломе аппаратных технологий, внесли свою лепту в растущее беспокойство по поводу уязвимости IoT-устройств, которые в огромном количестве входят в нашу жизнь.
Их концепт атаки продемонстрировал, что умный гриль CyberQ, подключаемый к Интернету, можно скомпрометировать с помощью целевой фишинговой атаки. Веб-страницу доступа с правами администратора легко найти через Google. Хакер может заставить пользователя зайти на поддельную страницу, а затем с помощью его идентификаторов получить права администратора и захватить контроль над устройством.
«Атака использует перенаправление портов на сервере с выходом через маршрутизатор в Интернет; если Google спросить, есть ли в Интернете сервера, содержащие веб-страницу [администрирования CyberQ], ответ будет «да», — комментирует Гэрретт.
«Можно сгенерировать определенный POST-запрос к контроллеру гриля и испортить чью-либо вечеринку», — иронизирует исследователь.
На самом деле даже такая экзотичная атака вряд ли может кого-то удивить. Как известно, Интернет вещей можно смело называть «Интернет угроз» — настолько несовершенна его ИБ-парадигма.
«Интернет вещей на самом деле ужасная идея, — уверен Гэрретт. — Качество кода в большинстве случаев оставляет желать лучшего, и сама концепция IoT предполагает, что программного обеспечения становится все больше и больше, а чем больше программ, тем больше потенциальных уязвимостей».
Не так давно компания Mattel тоже решила не стоять в стороне от глобальных трендов и выпустила смарт-куклу Hello Barbie, которая способна записывать разговоры детей, играющих с ней, и отправлять их на удаленный сервер для обработки и создания ответа. Как и следовало ожидать, эта идея была принята в штыки ИБ-сообществом. Барби способна хранить записанные разговоры, что может нарушить чье-то право на приватность, а привязанное к ней мобильное приложение потенциально подвержено атакам POODLE.
