Výzkum Avastu: Více než 32 tisíc chytrých domácností a firem riskuje únik dat

Výzkum Avastu: Více než 32 tisíc chytrých domácností a firem riskuje únik dat

Nový výzkum společnosti Avast (LSE: AVST) ukázal, že více než 49 000 serverů MQTT (Message Queuing Telemetry Transport) je veřejně viditelných na internetu kvůli nesprávné konfiguraci MQTT serveru. Více než 32 000 serverů není chráněno heslem a vystavuje se tak riziku úniku dat. V Česku se konkrétně jedná o 158 domácností a firem.

„Je hrozivě snadné získat přístup a kontrolu nad chytrým domovem člověka, protože stále existuje mnoho nedostatečně zabezpečených protokolů, které se datují do dávných let, kdy bezpečnost nebyla hlavní prioritou,“ uvedl Martin Hron, bezpečnostní výzkumník Avastu. „Lidé by měli věnovat větší pozornost bezpečnosti připojených zařízení a služeb, které ovládají osobní a privátní části jejich domovů, a hlavně nepodcenit jejich správnou konfiguraci.“

Protokol MQTT slouží k propojení a ovládání chytrých domácích zařízení pomocí tzv. smart home hubu. Při implementaci protokolu MQTT nastaví server sami spotřebitelé. Server se obvykle nachází v počítači nebo v mini počítači, jako je například Raspberry Pi, ke kterému se mohou zařízení připojit a komunikovat s ním.

Zatímco protokol MQTT je sám o sobě bezpečný, závažné bezpečnostní problémy mohou nastat, pokud je MQTT nesprávně implementován a nakonfigurován. Kyberútočníci by mohli získat plný přístup k domácnosti, manipulovat se zábavními systémy, hlasovými asistenty a domácími zařízeními a vědět, kdy jsou jejich majitelé doma a zda jsou dveře a okna otevřená či zavřená. Za určitých podmínek mohou útočníci dokonce sledovat polohu uživatele, což může být vážným bezpečnostním ohrožením soukromí.

Bezpečnostní expert Martin Hron popisuje pět způsobů, jak hackeři mohou zneužít špatně nakonfigurované servery MQTT:

1. Otevřené a nechráněné servery MQTT lze nalézt pomocí vyhledávače Shodan IoT a po připojení mohou hackeři číst zprávy přenášené pomocí protokolu MQTT. Výzkum Avastu ukazuje, že hackeři mohou například číst stav chytrých senzorů oken a dveří a zjistit, kdy se světla rozsvěcují a zhasínají. V tomto konkrétním případě Avast zjistil, že externí uživatelé mohou ovládat připojená zařízení nebo alespoň podvrhnout data pomocí protokolu MQTT v zastoupení jiného zařízení. Tímto způsobem by například útočník mohl poslat zprávy do smarthome hubua otevřít garážová vrata.

2. Avast zjistil, že i když je server MQTT chráněn, chytrá domácnost může být i přesto napadena, když dashboard i kontrolní panel chytré domácnosti běží na stejné IP adrese jako server MQTT. Mnozí uživatelé používají výchozí konfigurace softwaru smart home hubu a často nejsou chráněny heslem, což znamená, že hacker může získat plný přístup k řídícímu panelu a ovládat všechna zařízení připojená přes “smart hub”.

3. I když je server MQTT a řídící panel chráněný, Avast zjistil, že v případě softwaroveho smart home hubu Home Assistant, je otevřená a nezabezpečená služba sdílení protokolem SMB a bez jakékoliv autentizace snadno přístupná pro hackery. SMB je protokol používaný pro sdílení souborů v interních sítích, především na platformě Windows. Avast objevil veřejně sdílené adresáře se všemi soubory Home Assistant včetně konfiguračních. V exponovaných souborech Avast objevil jeden, ve kterém jsou ukládána hesla a klíče v prostém textu. Hesla uložená v konfiguračním souboru mohou hackerovi dovolit získat plnou kontrolu nad chytrou domácností uživatele a dalšími souvisejícími službami.

4. Majitelé chytrých domácností mohou používat nástroje a aplikace pro vytvoření řídícího panelu pro chytré domácnosti založené na MQTT, který ovládá jejich připojená zařízení. Speciální aplikace, MQTT Dash, umožňuje uživatelům vytvářet vlastní řídící panel pro ovládání chytrých zařízení pomocí MQTT. Uživatelé mají možnost zveřejnit nastavení, která nastavili pomocí řídícího panelu na server MQTT, takže mohou snadno replikovat nastavení na tolik zařízení, kolik chtějí. Pokud je použitý server MQTT nezabezpečený, hacker může snadno zkopírovat řídící panel uživatele, což prakticky znamená plnou kontrolu na chytrou domácností.

5. Avast zjistil, že MQTT v určitých případech umožňuje hackerům sledovat polohu uživatelů, téměř v reálném čase. Mnoho serverů MQTT je připojeno k mobilní aplikaci s názvem OwnTracks. Služba OwnTracks umožňuje uživatelům sdílet svou polohu s ostatními, ale může být rovněž využívána majiteli chytrých domácností, aby chytrá zařízení věděla, kdy se uživatel blíží k domovu a aktivovala se (např. chytrá osvětlení). Aby bylo možné nakonfigurovat funkci sdílení polohy, uživatelé musí aplikaci připojit k serveru MQTT a vystavit tento server MQTT na internetu. Během procesu uživatelé nemají povinnost nastavit přihlašovací údaje, což znamená, že se k serveru MQTT může připojit kdokoliv. Hackeři mohou číst zprávy, které obsahují informace o stavu baterie, umístění telefonu uživatele včetně zeměpisné polohy, nadmořské výšky a časového razítka kdy byla poloha zaznamenána.

Plná verze výzkumu je popsána na anglickém blogu: https://blog.avast.com/mqtt-vulnerabilities-hacking-smart-homes

Zdroj informací

Avast Software s.r.o. a NejBusiness.cz

Datum

22. srpna 2018

Diskuse

Žádný komentář dosud nebyl vložen

Sociální sítě NejBusiness.cz

Přihlášení

Přihlášení
E-mail:
Heslo:

Doporučujeme

Zajímavosti a tiskové zprávy

27. dubna 2025

SGEF reportuje 36% nárůst financování strojů a technologických zařízení

Société Générale Equipment Finance (SGEF), tuzemský lídr nebankovního financování firem a člen Skupiny...

25. dubna 2025

Flexibilních kanceláří v Česku už je přes 172 500 metrů čtverečních. A bude jich více i v regionech

Flexibilní kanceláře v Česku zažívají rekordní růst. Po utlumení poptávky během pandemie sledujeme výrazné...

22. dubna 2025

IROP v roce 2024: 2 409 podpořených projektů a investice za 26,5 miliardy korun

Integrovaný regionální operační program (IROP) v roce 2024 významně podpořil rozvoj regionů napříč všemi...

17. dubna 2025

Inspekce práce v loňském roce při kontrolách odhalila téměř 2 tisíce nelegálně pracujících osob

V uplynulém roce 2024 bylo při kontrolách Státního úřadu inspekce práce odhaleno téměř 2 tisíce nelegálně...

9. dubna 2025

ABB, Smart View a Keyence otevřely studentům dveře do reálného světa robotiky na RoboVision Hackathonu

ABB, Smart View a Keyence uspořádali RoboVision Hackathon, který studentům nabídl jedinečnou možnost...

8. dubna 2025

Exportéři hledají nové trhy. Diverzifikace je klíčem ke stabilitě a odolnosti

České firmy přehodnocují své exportní strategie v reakci na geopolitický vývoj, regulatorní změny a...

10. března 2025

Česká EAG ohlásila dvě akvizice v Německu za více než miliardu

osud roztříštěný evropský trh se softwarovými, datovými a analytickými nástroji pro obchodování s novými i...

28. února 2025

Evropská komise schválila Česku podporu na výrobu tepla z biomasy

Evropská komise schválila podle pravidel EU pro veřejnou podporu český program ve výši přibližně 2,6...

27. ledna 2025

Nůžky odměňování žen a mužů v Česku jsou pořád rozevřené

Mind the gap. Hlášení, které v anglicky mluvících zemích upozorňuje cestující v metru na prostorovou...

22. ledna 2025

Půjčka pro podnikatele je spojená s minimální administrativou

Jen krátká smlouva a žádné osobní jednání, přesně o tom jsou moderní úvěry, které lze vyřešit z pohodlí...

Reklama

Page generated in 1.6112 seconds.
Redakční systém teal.cz naprogramoval Vítězslav Dostál