Вы думали, что Цукерберг, заклеивающий камеру в ноутбуке, — параноик? Но хакеры неоднократно демонстрировали, что с помощью специального ПО можно вести запись, даже не уведомляя пользователя светящимся светодиодом. С приходом Интернета вещей — мир в очередной раз изменился. Привычная бытовая техника поумнела, и с ее помощью теперь тоже можно шпионить за любым из нас…

Опасность состоит не только в том, что ваши данные могут утечь. Воспользовавшись возможностями поумневшей техники, злоумышленники способны причинить и физический вред. Например, дистанционно запустить нагрев квартиры до высокой температуры или вмешаться в работу тормозной системы автомобиля. Мы расскажем, какой ещё вред способны нанести умные девайсы, и можно ли этому противостоять.

Совершенно официальный шпионаж: Smart TV

Пару лет назад шпионский скандал затронул таких монстров как Samsung и LG. Дело касалось голосового управления. Интерфейс был обучаемым, и он обучался настолько хорошо, что записывал всё, что вы говорите, и отправлял записи на серверы вышеупомянутых компаний.

clip_image002

Всё это – про Smart TV, который ныне есть в любом телевизоре. Samsung совершенно открыто заявляет, что «ваше устройство может записывать голосовые команды и соответствующие тексты».

Вторая цитата ещё прекраснее: «если произносимые Вами слова включают личную или конфиденциальную информацию, эта информация будет среди данных, записанных и переданных сторонней организации при Вашем использовании распознавания голоса».

Чтобы избавиться от шпионажа достаточно отключить функцию распознавания голоса или ограничиться «фабричными» фразами. Правда, многие функции Smart TV станут после этого недоступны.

С LG всё ещё веселее. Компания признаётся, что информация собирается намеренно с целью демонстрации таргетированной рекламы: функция LG Smart Ad собирает данные о поведении в сети и пристрастиях пользователя, о просмотрах, о любимых программах, и так далее.

clip_image003

Несколько лет назад один из пользователей сайта «Хабрахабр» провел собственное расследование, в результате чего выяснилось, что даже при отключенных настройках информация все равно отправляется на серверы компании. Без какого-либо шифрования пересылаются даже имена файлов и пути к ним на внешнем диске, подключенном к телевизору.

Сама LG оправдывается тем, что пользователь по собственной воле принял условия лицензионного соглашения. 

В чём опасность?

Мало кто внимательно читает политику конфиденциальности в пользовательском соглашении. И то, что телевизор подслушивает вас или собирает статистику о вашем поведении, для многих становится неприятным сюрпризом. Кроме того, не всегда понятно, какие именно данные и на какие серверы отправляются. А главное – как и для чего их используют.

Игрушки-шпионы

Недавний скандал с куклами My Friend Cayla привел к их официальному запрету в Германии. Куклы занимались тем же самым, что и телевизоры с распознаванием голоса: записывали информацию и передавали ее производителю.

Только если «зомбоящики» делали это – официально – с целью улучшения распознавания вашего голоса, то «Кейла» пересылала вопросы ребятишек родителям (в приложение на их смартфонах), искала в базе ответ и затем озвучивала его ребёнку.

clip_image004

В реальности же записи попадали на серверы компании, где использовались для «улучшения качества сервиса», а сам производитель любезно оставил за собой право делиться записями с третьими сторонами – например, рекламными агентствами.

Плюс ко всему в конце 2016 обнаружилось, что данные, передающиеся между игрушкой и приложением, очень плохо защищены. Злоумышленник может перехватить сделанные аудиозаписи или даже подменить их, заставив куклу произносить любой переданный им текст.

То, что это не выдуманная угроза, подтверждает другой инцидент с интеллектуальными детскими игрушками. В начале года у компании CloudPets, которая продает умных плюшевых медведей, «утекло» 800 тыс. учетных записей пользователей. Они содержали около 2 млн сообщений личного характера, которыми родители и дети обменивались через игрушку.

Хакеры утащили эти данные к себе и держали их «в заложниках» для получения выкупа. Одной из причин плохой защиты были слабые пароли к базе данных.

clip_image005

Проблемы с безопасностью также были выявлены у интерактивной куклы Hello Barbie, у игрушки BB-8, копирующей робота из «Звездных Войн», у детских часов-трекеров hereO GPS. Список можно продолжать: производителей милых детских штучек в последнюю очередь волнует защита от несанкционированного доступа и утечки данных пользователей.

В чём опасность?

Адресная реклама, учитывающая интересы ребёнка и к тому же исходящая от его любимого “питомца” – лишь малое из возможных зол. Данные, полученные от умных игрушек, могут использоваться и уже используются для откровенной уголовщины – например, для шантажа.

Радионяни

Гаджеты, позволяющие мониторить происходящее в комнате малыша и при необходимости вмешиваться, безусловно полезны. Особенно привлекательной выглядит возможность присматривать за детьми удаленно через смартфон или интернет-браузер.

clip_image006

Но радионяни таят в себе опасности другого рода, нежели простое «не успеть к малышу». Так, родители в одной вашингтонской семье долго не верили ребёнку, который боялся разговаривающего с ним по ночам голоса. Войдя ночью в комнату, мать малыша услышала шёпот

«Проснись, малыш, папочка идёт к тебе!», а камера повернулась в её сторону. Оказалось, что неизвестный злоумышленник получил доступ к гаджету в спальне ребенка и начал кричать «Проснись, детка!». Эта жутковатая история — не единственная. Было задокументировано ещё несколько случаев, когда неизвестные каким-то образом получали доступ в видео- и радионяням.

В чём опасность?

Вы показываете, где спит ваш ребенок и даете возможность всему миру с ним общаться. Любой не слишком умный школьник с помощью инструкции из интернета может захватить управление гаджетом, напугать младенца и вызвать у него психологическую травму.

Веб-камера с микрофоном

Классический способ шпионажа: обычная веб-камера, которая есть в почти любом ноутбуке или настольном компьютере. Чаще всего несанкционированный доступ к видеонаблюдению и микрофону злоумышленники получают с помощью троянов. 

Так, весной прошлого года анонимный пользователь имиджборда «Двач» устроил целое шоу, демонстрируя всем, как легко он может наблюдать через веб-камеру за ничего не подозревающими людьми. У всех жертв на компьютере был установлен торрент-клиент MediaGet или пиратская версия программы для удаленного администрирования LuminocityLink.

clip_image007

Иногда сами производители оставляют бреши в безопасности. Например, в конце прошлого года в австрийской компании специализирующейся на безопасности, SEC Consult обнаружили, что к десяткам моделей IP-камер Sony можно получить доступ через встроенные бэкдор-аккаунты.

После этого случая были выпущены новые прошивки, однако официальных комментариев, зачем в камерах был предусмотрен «чёрный ход», от компании не последовало.

Многие люди сами облегчают задачу злоумышленникам, оставляя заводские пароли доступа к камерам и другим сетевым устройствам. Убедиться в этом позволяет поисковый сервис Shodan. С его помощью можно найти незащищенные радионяни и IP-камеры и даже подключиться к ним.

Поисковиком часто пользуются злоумышленники и интернет-тролли, но вы можете с его помощью обнаружить, является ли ваше устройство уязвимым для атаки и предпринять меры.

clip_image008

В чём опасность?

Даже если вы не стали жертвой шантажа, всё равно неприятно, если видео с вами попадёт во всеобщий доступ.

Опасность IoT: чайники, лампы и умный дом

В прошлом году специалисты показали возможность удаленного взлома умных ламп Philips Hue. Интересно, что исследователям было достаточно загрузить вредоносное ПО только в один из светильников, а дальше инфицировались все остальные лампы, входящие в сеть ZigBee Light Link. На видео ниже показан взлом Philips Hue с помощью дрона. Находясь за 350 метров от ламп, хакеры заставили их передавать сигнал SOS.

Если лампы можно просто включать, выключать и, максимум, вывести их из строя, то взлом других умных устройств может повлечь за собой более серьезные последствия. Так, в США грабители взломали системы управления дверными замками и заблокировали хозяина в комнате. 

Концепт приложения-вымогателя для умного дома продемонстрировал хакер Кен Манро. Он взял под свой контроль управление температурой. На экране системы управления умным домом в это время высвечивалось требование заплатить 1 биткойн.

clip_image009

Потенциальная опасность от слабозащищенных бытовых приборов заключается в том, что они могут проторить злоумышленникам дорогу в вашу сеть Wi-Fi.

Тот же хакер Манро показал, как, пользуясь уязвимостью умных чайников iKettle, можно узнать пароль от домашней беспроводной сети. Он просто-напросто разворачивал рядом с устройством сеть с таким же SSID, но более сильным сигналом. Чайник переподключался к новой сети и вполне добровольно отдавал пароль от домашнего Wi-Fi.

clip_image010

В чём опасность?

Перечень угроз здесь очень велик. Самая невинная шалость, которую может сделать злоумышленник — воспользовавшись брешами в безопасности умных гаджетов, проникнуть в вашу сеть Wi-Fi. Другие же опасности простираются в диапазоне от кражи данных до поломки устройств и даже пожара в доме.

Автомобили

Попытки взлома бортовой сети машин предпринимались давно. Но раньше хакеру нужно было сесть к вам на пассажирское кресло с ноутбуком, подключиться к сервисному разъему, долго и вдумчиво производить манипуляции.

Теперь физический доступ к автомобилю больше не нужен. Хакеры обнаружили уязвимость в бортовом компьютере Jeep Cherokee производства Chrysler. Они продемонстрировали журналистам Wired, как взломать систему Uconnect, подключающую автомобиль к Интернету через сотовые сети.

После этого хакеры смогли получить управление над трансмиссией и тормозами. Уязвимость касалась 471 тысячи джипов Chrysler. Владельцам были отправлены флэшки с обновлением прошивки, а хакеров позднее взяла на работу компания Uber.

clip_image011

Как защититься от слежки и несанкционированного доступа

Сегодня количество подключенных к Интернету вещей без учета компьютеров, планшетов и смартфонов, составляет около 5 млрд штук.

По прогнозам, к 2020 году оно увеличится до 25 миллиардов. Но производители умной техники не слишком озабочены проблемой защиты своих устройств. По крайней мере, многие из них. А значит, забота о собственной безопасности ложится на пользователей. 

Единственная абсолютная защита – не пользоваться умными устройствами вовсе. По крайней мере – пока. До тех пор, пока производители не станут более чутко относиться к своим покупателям и не снабдят свои устройства приличной защитой.

0_1d6f8b_74111664_orig

Пароли. Часто во взломах виноваты сами пользователи, которые не меняют заводские комбинации логина и пароля. Обязательно нужно заменить стандартный пароль для всей техники. Пароль не должен иметь прямого отношения к вам (не состоять из даты рождения, имени собаки или девичьей фамилии матери). И не забывайте минимум раз в год менять пароль.

Антивирусы. Для предотвращения удаленного доступа к ноутбуку или ПК с помощью троянов и прочих зловредов, обязательно используйте антивирус и регулярно обновляйте его базу данных.

Защита от слежки. От оснащенных средствами наблюдения и прослушивания приборов есть совершенно прозаический способ защиты. Просто заклейте непрозрачной лентой все камеры и даже микрофоны. Более экзотичный способ – общение с техникой на выдуманном, можно даже детском, языке. В умных устройствах можно просто отключить голосового помощника.

Обновления. Новые уязвимости обнаруживаются постоянно, поэтому надо своевременно устанавливать обновления прошивки.

Защита от удаленного подключения. Что касается умного дома, специалисты советуют организовывать для интеллектуальных систем отдельную сеть, изолированную от основной домашней.

Мысли и позиции, опубликованные на сайте, являются собственностью авторов, и могут не совпадать с точкой зрения редакции BlogNews.am.