Ilyen hálózati keresőkkel kutatta fel a Makay.net azokat a magyar okosotthonokat is, amelyek kényelmi szolgáltatásként webes kezelőfelületet is biztosítanak tulajdonosaik számára.
Ezzel persze még nem is lenne probléma, ha kellően védett rendszerekről lenne szó, viszont a gyakorlatban azt tapasztalták, hogy a magyar okosotthonok túlnyomó többségén elavult, nem frissített, tehát számos sebből vérző vezérlőszoftver fut, a régi verziók nem védettek a jogosulatlan hozzáférés ellen, és titkosítás nélkül kommunikálnak a publikus interneten. Érdemes hozzátenni, hogy a hasonló problémákkal küzdő routerek száma Magyarországon 10 ezres nagyságrendű.
A biztonsági cég a vizsgálataik során nem hajtott végre jogosulatlan, törvénybe ütköző tevékenységet. Az alábbi okosotthon rendszereken semmilyen behatolástesztet (penetrációs teszt) nem végeztek.
A rendszerek alkalmazott megoldásaiban a Makay.net mindjárt öt problémát is azonosított.
A vezérlőszoftverek elavultak, több ismert sebezhetőségben szenvednek, amiket a támadók kihasználhatnak. Az elavult szoftververziókból számos biztonsági funkció hiányzik (kétfaktoros hitelesítés, elrontott próbálkozások utáni IP-letiltás), amik csak későbbi verziókban kerültek megépítésre – ha egyáltalán bekerültek.
A felhasználók nem kapják meg automatikusan az új, javított szoftververziókat, ők maguk pedig nem végzik el manuálisan a frissítést.
Nincs gyártó által üzemeltetett és védett, központi szerverről elérhető kezelőfelület – a felületek a kitelepített okosotthon rendszerekről érhetőek el egyenként.
A vezérlőszoftverek nyílt (nem-titkosított), lehallgatható és manipulálható csatornán kommunikálnak a felhasználókkal.
A beazonosított szoftververziók között a 2015-ös és 2016-os verziók mellett számottevő mennyiségben akadtak 2017 végén (például Loxone Smart Home 9.1.1 2017.11.14) kiadott verziók is – ezek valószínűleg karácsonyi ajándékok voltak. Mivel a gyártók nem adnak ki verziószám-változást nem igénylő javítófoltokat, ez azt jelenti, hogy a verzió kiadása óta felfedezett sérülékenységekben jó eséllyel az adott verzió is érintett.
Loxone Web versions: a felületen és a motorházban is rengeteg a változás
Viszont bármennyire tűnik a 2017-es karácsony közelmúltnak, azóta a termékek már jó néhány javításon és verziókiadáson estek át, tehát a felhasználóknál futó rendszerek szoftverei messze nem naprakészek frissítések szempontjából.
Közismert, hogy a felhasználók nem szívesen piszkálják a rendszereket, így ha a gyártó nem cselekszik, ezek a lakások és házak közvetlen veszélynek lesznek kitéve a távoli, akár más földrészen élő támadók által – ahogyan jelenleg is ki vannak téve:
- Kapcsolgathatják a világítást
- Szabályozhatják a fűtést
- Nyithatják a garázskaput
- Kikapcsolhatják a riasztót
- Kizárhatják a felhasználókat a rendszerből
- Mindent beállíthatnak, amire a rendszer képes
A titkosítatlan kommunikációból számos részlet kiderül
További probléma, hogy ezek a publikus hálózati interfésszel rendelkező rendszerek jellemzően titkosítatlan HTTP-csatornán kommunikálnak a webböngészővel és a mobilalkalmazással, így egy rosszindulatú támadó lehetőséget szerezhet úgynevezett man-in-the-middle közbeékelődéses támadásra, amely során nemcsak lehallgathatja a felhasználó és az okosotthon között folyó hálózati kommunikációt, de akár manipulálhatja is azt.A Makay.net 160 darab olyan okosotthont azonosított Magyarországon, aminek távoli menedzsmentfelülete publikusan kint lóg az interneten és csak arra vár, hogy feltörjék.
Persze ennél magasabb is lehet a szám, viszont ezek az otthonok tényleges veszélynek vannak kitéve azáltal, hogy a hálózati keresők is feltüntetik őket találatként.
Hogyan tehetők biztonságossá az okosotthon rendszerek?
Mivel a tapasztalatok szerint a rendszereket nem frissítik automatikusan, hasznos lehet felvenni a kapcsolatot a gyártóval, hogy valamilyen garanciát vállaljanak a frissítések 3 hónapon belüli telepítésére, vagy figyelmeztetéseket kérni az új szoftververziókra és azok manuális telepítésére vonatkozóan.
Ha pedig olyan rendszert használunk, aminek webes/appos kiszolgálója magából az okosotthonból érhető el, ajánlott legalább egy webalkalmazás-tűzfal beszerzése.
Az okosotthon rendszerek gyártóinak felhőalapú, erős védelmi technológiákkal körülbástyázott, kétfaktoros hitelesítést is megkövetelő konfigurációs interfészeket kellene biztosítaniuk a felhasználóknak, hogy az otthonokban üzemelő kiszolgálóról ne lehessen megmondani, pontosan milyen célt szolgál, így azt sem, hogyan lehet megtámadni.
Továbbá a frissítések kezelését sem a felhasználókra kellene hagyni, hiszen számukra biztonsági, a gyártók számára pedig üzleti kockázatot (is) jelentenek a javítatlan sérülékenységek.
