Эксперты «Лаборатории Касперского» проанализировали популярную умную кормушку Dogness для домашних животных и обнаружили в ней ряд уязвимостей. Они позволяют злоумышленникам тайно шпионить за владельцами и удалённо управлять кормушкой. «Лаборатория Касперского» сообщила обо всех найденных уязвимостях производителю.
Наиболее критические уязвимости связаны с небезопасным процессом обновления прошивки устройства и принципами жёсткого кодирования учётных данных, логина и пароля. Используя их, злоумышленники могут несанкционированно выполнять код, изменять настройки устройства и красть видео- и аудиозаписи со встроенных камеры и микрофона, которые гаджет отправляет на облачный сервер. Такие уязвимости могут превратить кормушку для домашних животных в инструмент слежки, а вмешательство в расписание кормления может поставить под угрозу здоровье питомца.
Как умный гаджет превращается в шпиона. Основная уязвимость анализируемой кормушки связана с использованием Telnet-сервера, в котором предусмотрена возможность удалённого root-доступа* через порт по умолчанию. При этом пароль для пользователя с таким типом доступа указан в прошивке и не может быть изменён. Если злоумышленник извлечёт прошивку, он получит возможность восстановить пароль и получить контроль над гаджетом — любым той же модели, поскольку они имеют одинаковые root-пароли. При условии, что атакующий, который эксплуатирует эту уязвимость, имеет удалённый доступ к домашней сети жертвы, он может выполнять на устройстве любой код, изменять настройки и красть конфиденциальные данные, включая видеозаписи, которые отправляются с камеры кормушки в облако.
Почему умные кормушки интересны злоумышленникам. Современные кормушки для животных — яркий пример умных устройств, которым не всегда уделяют внимание с точки зрения кибербезопасности. Злоумышленники могут использовать нестандартные точки входа для атак на внутреннюю сеть, а также получать дополнительную возможность для несанкционированной записи аудио и видео владельцев гаджетов.
«Люди используют все больше умных устройств в быту и порой не задумываются о связанных с ними киберрисках. Чего не скажешь о злоумышленниках, активно изучающих возможности, которые открывает перед ними доступ к интернету вещей. В данном случае производитель допустил фундаментальную ошибку на стадии разработки, которая делает устройство привлекательной целью для атакующих. Владельцам любых умных гаджетов важно быть бдительными и не забывать соблюдать базовые правила цифровой гигиены», — комментирует Владимир Дащенко, эксперт по кибербезопасности Kaspersky ICS CERT.
«Лаборатория Касперского» рекомендует владельцам умных устройств:
- регулярно обновлять прошивку и программное обеспечение всех подключённых устройств, поскольку обновления часто содержат важные исправления безопасности, устраняющие известные уязвимости;
- перед покупкой изучать информацию об устройстве и разработчике: доверять лучше проверенным крупным игрокам рынка;
- просматривать и ограничивать разрешения, предоставляемые мобильным приложениям, связанным с умной кормушкой для животных; предоставлять только необходимый доступ к функциям и данным и избегать предоставления чрезмерных привилегий;
- создавать отдельные подсети для подобных умных устройств, чтобы в случае его компрометации злоумышленник не получил доступ к другим активам в сети;
- обеспечивать безопасность мобильных устройств, через которые происходит управление умными гаджетами, с помощью надёжного защитного решения.
Подробная информация об исследовании экспертов «Лаборатории Касперского» доступна на сайтах: https://securelist.com/smart-pet-feeder-vulnerabilities/110028/ и https://www.kaspersky.ru/blog/pet-feeders-vulnerabilities/35605/.
* Root-права — это права с высокими привилегиями в системе, которые расширяют возможности пользователя, за счёт чего он может вносить значительные изменения в настройки устройства.
