Video: Как установить термостат Google Nest американской версии? (Oktober 2024)
Pogovorite se o varnostnih posledicah pametnega termostata Nest in večina ljudi bo verjetno le slekla skomignil. Domnevajo, da se napadalec ne bi trudil s tem, ker termostat ne more dostopati do vašega denarja ali požreti vaše hiše. Letos so na Black Hatu predstavniki Yier Jin, Grant Hernandez in Daniel Buentello pokazali, da lahko termostat stori veliko.
Nest je zakuhal nekaj varnosti, zato so predstavniki točko namenili podjetju Nest za delo v podjetju. "Zelo dobro je zasnovan in pohvaliti bi morali njihovo delo, " je dejal Jin. Hitro je sledil potisu dela svoje ekipe: "na podlagi naše analize smo ugotovili, da je strojna oprema v zadnjem delu in s pomočjo te zadnje strani lahko dobimo daljinski nadzor nad celotno napravo."
Razbijanje gnezda
V demonstraciji je ekipa dostopala do gnezda preko USB-ja in ga ukoreninila v približno 15 sekundah. Njihov napad je bil odvisen od sistema za odpravljanje napak, ki ga je Nest namerno pustil na napravi. Navzoči so poudarili, da je to dejansko običajna praksa proizvajalcev vgrajenih naprav.
Ko držite fizično tipko Nest 10 sekund, se naprava znova zažene. Za nekaj sekund je na voljo, da prejmete nova navodila, kako zagnati sistem. Ekipa je ustvarila orodje po meri, ki je ob neposredni povezavi z Nestom predelalo Nestjevo programsko opremo in jim tako omogočilo popoln daljinski nadzor.
Medtem ko njihov napad zahteva fizični dostop, je bila hitrost izvedbe izjemna. Napadalec bi si lahko zamislil, da bi nadgradil gnezdo, ko bi lastnik za trenutek stopil iz sobe. Izpostavili so tudi, da lahko napadalci preprosto kupijo naprave Nest, jih okužijo in nato pošljejo nazaj v trgovino, kjer bi jih preprodali.
In ne mislite, da bi posodobitve Nest lahko pomagale: raziskovalci so rekli, da so razvili način za okužene naprave za skrivanje datotek pred posodobitvami strojne programske opreme. Z lažjo noto so prisotni tudi pokazali, da lahko dolgočasni videz Nest nadomestijo z animiranimi ozadji.
Kaj je pomembno?
Ena od ključnih funkcij Nest-a - pravzaprav njegovo prodajno mesto - je, da se nauči vaših želja za ogrevanje in hlajenje. S temi informacijami optimizira temperaturo vašega doma, da ustreza vašim potrebam in prihrani denar. Toda predstavitelji poudarjajo, da to daje napadalcu veliko informacij o vaših navadah. Ogroženo gnezdo na primer ve, kdaj ste zunaj hiše ali na dopustu. Te podatke bi lahko uporabili za prihodnje digitalne napade ali preprosto za vlom.
Nest pozna tudi vaše podatke o omrežju in njegovo približno lokacijo. Toda najbolj stiska uporaba pokvarjenega Gnezda bi bila plažišču za druge napade. Buentello je dejal, da če bi imel nadzor nad okuženim Nestom v nekem domu, "bi preusmeril ves tvoj promet skozi, in smrčal za čim, kar bi lahko našel." To vključuje gesla, številke kreditnih kartic in vse druge dragocene informacije.
Tako strašljiva kot je bila njihova predstavitev, je napadalcu še vedno potreben fizični dostop do Nestinega termostata. Toda raziskovalci so občinstvu zagotovili, da si prizadevajo raziskovati programske protokole naprave, kot je Nest Weave, za katere verjamejo, da lahko omogočajo oddaljeno izkoriščanje.
Najhuje pa je, da so govorili predstavniki, da nobena žrtev ne bi povedala, da se je okužila. Konec koncev ne morete naložiti antivirusov na svoj termostat.
Zasebnost
Medtem ko je bil taks za gnezdo zelo zabavna demonstracija, so prisotni večinoma skrbeli za zasebnost. Izpostavili so, da uporabniki Nest-a ne morejo izbrati zbiranja podatkov. Možno je tudi, da je Nest naprav več, kot si mislimo. "Zakaj za vraga moj termostat potrebuje 2 gigbajta, " je vprašal Buentello. "Kaj počne?"
Medtem ko so raziskovalci kritični do odločitve družbe Nest, da vključi USB backdoor, poudarjajo, da jih lahko zasebniki, ki razmišljajo o zasebnosti, dejansko uporabijo za preprečevanje, da bi Nest zbiral uporabniške podatke. Četrti član njihove raziskovalne skupine si močno prizadeva za posodobitev programske opreme po meri, ki bo izkoristila ranljivosti, ki jih je našla ekipa. Njihov obliž po meri bo Gnezdu preprečil zbiranje podatkov, vendar bo še vedno omogočil normalno delovanje - tudi pri prejemanju posodobitev zraka.
Zaradi Nestinega statusa otroka na plakatu za naprave IOT je ekipa občinstvu postavila zanimivo vprašanje: ali bi Nest še naprej uporabljali doma? Raziskovalci so dejali, da lahko sprejeti ukrepi in odločitve o tem, kaj se nam zdi dopustno za vgrajene naprave, postavijo v naslednjih 30 letih.
Izberite pametno.
