:

Szerző: Hlács Ferenc

2014. május 14. 14:54

Egyszerűen poloskává alakíthatók az okostévék

Már a mikrofonnal felszerelt okostelevíziók is használhatók lehallgató-készülékként, az ehhez szükséges szoftvert pedig akár a gyártó alkalmazásboltjában is elhelyezhetik a támadók. Biztonsági szakértők szerint az internetre csatlakozó háztartási eszközök jelentős része gyakorlatilag védtelen a hasonló veszélyekkel szemben.

Nemcsak a telefonok  és számítógépek, de már az okostévék is lehallgató-készülékké alakíthatók az NCC Group biztonsági szakértői szerint. A szakemberek a londoni Infosec Europe konferencián mutatták be, hogyan lehet megfigyelni a tévék tulajdonosait.

A mikrofonnal, belső tárhellyel és hálózati kapcsolattal rendelkező okostelevíziókból egy egyszerű szoftver telepítésével már "poloska" készíthető. Erre a behatolónak két módja van: vagy fizikailag kell hozzáférnie a készülékhez, vagy egy rosszindulatú alkalmazás telepítésére kell rávennie annak tulajdonosát. Ez utóbbi könnyebb mint sokan gondolnák, hiszen a legtöbb ilyen tévében lehetőség van az appok automatikus frissítésére. Ezt kihasználva, egy a gyártó alkalmazásboltjába feltöltött, teljesen ártalmatlan szoftverhez később is kiadható a megfigyeléshez szükséges kódot tartalmazó frissítés - az eljárás nagyon hasonlít az Androidon terjedő módszerekhez.

A kutatók demonstrációja során az okostévé belső tárhelye 30 másodpercnyi hangot tárolt - noha jóval többre is lehetőség van - amelyet aztán a szoftver adott időközönként feltölthet a támadó szerverére, vagy akár folyamatosan is streamelheti azt. Egyes tévégyártók ráadásul a készülékekhez tartozó forráskódot is közzéteszik, ami valamivel megkönnyíti az appok fejlesztését az adott eszközre - beleértve a rosszindulatú szoftverekét is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Természetesen hasonló veszélyek valamennyi IoT (Internet of Things) eszköz esetében fennállnak: az okostévék mellett az otthoni routerek, de még a Wi-Fi-s fali aljzatok is ki vannak téve a támadásoknak, amit a szakértők demonstráltak is. Utóbbiaknál a fő problémát az jelenti, hogy sok esetben a mezei felhasználó számára túlságosan komplikált a hozzáféréshez szükséges alapértelmezett jelszó megváltoztatása. A tesztelt modelleknél például egy külön szoftvert kellett hozzá letölteni, de a beállítás közben felbukkanó üzenet sem igazán bátorítja felhasználókat: arra figyelmeztet, hogy a módosítások során a legkisebb hiba is tönkreteheti az eszközt.

Az alapértelmezett jelszó megtartása a routereknél is gyakori hibát jelent, de az olyan egyszerű eszközök, mint az internetkapcsolattal rendelkező kávéfőzők is hasznos információkkal szolgálhatnak a hackerek számára az otthoni hálózatról. Az NCC Goup szerint a hasonló készülékek gyártásánál jelenleg az alapvető funkciók és az alacsony ár jelentik a fő prioritást, a vállalatok a kelleténél jóval kisebb hangsúlyt fektetnek a biztonságra - pedig ahogy egyre több háztartási gép csatlakozik az internetre, az otthoni hálózatot és az azon keresztül haladó érzékeny információkat is egyre több veszély fenyegeti.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról