:

Szerző: Hlács Ferenc

2015. augusztus 8. 15:30

Kritikus biztonsági rést találtak a Zigbee szabványban

A teljes hálózat felett átvehetik az uralmat a támadók, a ZigBee vezeték nélküli szabványban fellelt legújabb sebezhetőséget kihasználva. A Cogonsec által demonstrált kritikus hiba számos gyártó IoT termékeit érinti.

Kritikus sebezhetőséget találtak a Cognosec biztonsági szakértői a ZigBee vezeték nélküli kommunikációs szabványban. A számos IoT eszköz által használt technológiában felbukkant biztonsági rést a kutatók Las Vegas-i Black Hat konferencián demonstrálták - azt kihasználva támadók az adott hálózaton lévő összes készülék fölött átvehetik az uralmat.

A probléma abból ered, hogy a szabványt használó eszközök a kapcsolatlétesítés elején egy nem biztonságos kulcsátvitelt végeznek, amelynek során a gyártók egy alapértelmezett kulcsot használnak - ennek birtokában a támadók egyszerűen csatlakozhatnak az adott hálózathoz, majd a rajta lévő eszközöket felkutatva parancsokat is adhatnak azoknak. A ZigBee hálózaton ugyanis a csatlakozott készülékek, a kommunikációhoz különböző alkalmazásprofilokat használnak, amelyeken a szabvány által definiált parancsok küldhetők. Miután ezek előre meghatározott, ismert utasítások (például a hőmérséklet szabályozására vagy egy lámpa felkapcsolására) a támadók egy-egy hálózatba bejutva könnyedén igába hajthatják azokat, például az okosotthon-kiegészítők feletti irányítás átvételére.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A Cognosec szerint elsősorban azért kerülnek piacra sebezhető IoT eszközök tömegei, mert a vállalatok könnyű kezelhetőséget kezelik a legfontosabb tényezőként - gyakran a biztonság rovására. Az egyes cégek termékeinek ráadásul a felhasználóbarát működéshez egymással is kompatibilisnek kell lenniük, a gyártók emellett az árakat is igyekeznek alacsonyan tartani. A kutatók szerint épp a költségek leszorítása lehet a fő oka a hasonló biztonsági hibák megjelenésének. A ZigBee-t egyébként többek között a Samsung, a Philips, a Motorola és a Texas Instruments is használja termékeiben.

A biztonsági szakértők tesztjeik során sikerrel vették át a kontrollt okosvillanykörték, -hőmérők, sőt ajtózárak fölött is - bár egy villogó lámpa még nem jelent komolyabb veszélyt, azt valószínűleg nem kell ecsetelni, hogy a ZigBee-t használó okoszárak a frissen felfedezett sebezhetőség fényében milyen biztonsági kockázatot hordoznak. Az eszközöket továbbá a felhasználóknak nem is áll módjában biztonságosabbá tenni, az okosotthon-kiegészítő IoT termékek döntő többsége semmilyen opcionálisan választható, plusz biztonsági funkciót nem tartalmaz.

A kutatók eredményeiről az érdeklődők részletesebben is olvashatnak, a Cognosec a témában megjelent tanulmányában.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

handheld

11

Új kézi konzolon dolgozhat a Sony

2024. november 25. 12:10

Az újdonság a Portalra épülhet és PS5-ös játékokat lehetne vele mobilizálni - felhőszolgáltatás nélkül.