It is currently 20-10-2017 01:04

Эксперты Pen Test Partners создали вымогателя, заражающего термостаты

Эксперты Pen Test Partners создали вымогателя, заражающего термостаты

by seo_worker » 2016-08-11 12:53:03



Многие устройства, подключенные к интернету вещей, очень плохо защищены от взлома и это общеизвестный факт. Так, мы уже рассказывали о случаях взлома кофемашин и умных чайников. Но, казалось бы, чем может быть опасен взлом телевизора или кофеварки? Исследователи Кен Манро (Ken Munro) и Эндрю Тирни (Andrew Tierney) из британской фирмы Pen Test Partners продемонстрировали, что уязвимости IoT-устройств могут принести злоумышленникам выгоду. Эксперты создали вымогательскую малварь, заражающую термостаты.

На конференции DEF CON в Лас-Вегасе Манро и Тирни продемонстрировали proof-of-concept вымогателя, который был создан для атак на умные термостаты. Мишенью для своего хака эксперты выбрали устройство с большим дисплеем, которое работает под управлением модифицированной версии Linux и имеет слот для SD-карты, что позволяет пользователям загружать кастомые обои. Ни производителя, ни модель устройства исследователи не называют.

Исследователи рассказывают, что IoT-девайс вообще не проверят, какие именно файлы на него загружают и что именно он запускает. К тому же, практически все процессы термостата работают с root-привилегиями, что только облегчило задачу исследователям. Манро и Тирни загрузили на устройство файл JavaScript, размером 7 Мб, при помощи которого отправили запрос SQL базе данных и заставили Linux выполнить ряд команд.

Цитата:«Он доводит температуру до 99 градусов [37,2 по Цельсию], а затем запрашивает PIN-код для разблокировки, который меняется каждые 30 секунд. Мы подключили к делу IRC-бота, исполняемый файл обращается к каналу и использует MAC-адрес [устройства] как идентификатор. Чтобы разблокировать устройство, нужно заплатить выкуп в биткоинах», — рассказал Эндрю Тирни.



В данном случае для заражения термостата вымогателем исследователи воспользовались конкретной уязвимостью в этой модели устройств, но отказались раскрывать подробности о баге, так как еще не сообщили о проблеме производителю.

Исследователи признают, что показанная на конференции атака далека от идеала. В настоящее время для взлома термостата нужен либо физический доступ к устройству, либо нужно каким-то образом убедить владельца девайса закачать на него вредоносный файл. Однако Манро и Тирни объяснили, что придумали эту схему атаки буквально за один вечер, собираясь на конференцию, так что у них не было времени, чтобы отточить атаку.

Цитата:«Вы не просто покупаете IoT-устройство, вы приглашаете людей в свою сеть, понятия не имея, на что способна эта штука», — предупреждает Эндрю Тирни, говоря о небезопасности IoT-устройств в целом.
seo_worker
moderators
Сообщений: 755
Депозит: 0.005 BTC

Rating: 2