Tiskové zprávy

Experiment Avastu na veletrhu Mobile World Congress 2017 ukázal rizika bezpečnosti IoT zařízení

no-meta

no-meta


V Barceloně a v celém Španělsku je téměř půl milionu chytrých zařízení včetně webových kamer a dětských chůviček, které se snadno mohou stát terčem kyberútoků.

Mobile World Congress, Barcelona, Španělsko, 27. února 2017 Avast, světový lídr v oblasti zabezpečení digitálních zařízení pro domácnosti a firmy, dnes odhalil výsledky svého nového experimentu, který se zaměřil na zranitelnost chytrých zařízení včetně veřejných kamer ve Španělsku a zejména v Barceloně. Avast odhalil, že ve městě je více než 22 000 webových kamer a dětských chůviček, které mohou útočníci snadno napadnout a zneužít třeba tak, že z nich budou vysílat živá videa na internetu. Experiment dále identifikoval přes 493 000 chytrých zařízení v Barceloně a 5,3 milionu v celém Španělsku – včetně chytrých ledniček, termostatů, varných konvic, kávovarů, garážových dveří a dalších zařízení – která jsou připojená k internetu a náchylná k útokům.

Se zranitelností webových kamer a dalších IoT zařízení souvisí řada bezpečnostních a právních otázek. Slídilové mohou snadno sledovat návštěvníky veletrhu a obyvatele Barcelony v soukromí nebo na veřejných prostranstvích a vysílat na internetu živá videa nebo dokonce zařízení proměnit v bot. Pokud jsou zranitelných zařízení stovky či tisíce, mohou hackeři vytvořit tzv. botnet a následně shodit servery a webové stránky. V případě, že je zařízení nakažené, může být snadno zneužito k nakažení jiných zařízení, přidáno k botnetu nebo nad nimi mohou útočníci převzít kontrolu a poškodit tak jejich majitele. Příkladem jsou kuchyňská zařízení, kterým útočníci mohou vzdáleně dávat příkazy, např. nechat ohřát vodu ve varné konvici.

Výrobci chytrých zařízení také shromažďují a ukládají osobní data uživatelů, včetně podrobností o jejich chování i údaje o kreditních kartách, což jsou informace, které se mohou dostat do rukou kyberútočníků. Tento problém se samozřejmě nevztahuje pouze na Barcelonu, která tento týden na MWC 2017 hostí tisíce top manažerů ze světa mobilních technologií.

Avast prostřednictvím experimentu zjistil, že ve Španělsku:

  • je přes 5,3 milionu zranitelných chytrých zařízení (v samotné Barceloně jich pak je více než 493 000),
  • lze napadnout více než 150 000 webových kamer (v Barceloně konkrétně více než 22 000),
  • je přes 79 000 chytrých varných konvic a kávovarů náchylných k útokům,
  • využívá více než 444 000 zařízení síťového protokolu Telnet, což je stejný typ, který byl zneužit v rámci tzv. Mirai botnetu. Ten v loňském roce zaútočil na firmu Dyn a zapříčinil pád webových stránek společností Twitter, Amazon, Reddit a další.

Experiment Avastu vznikl ve spolupráci se společností Shodan.io, která se specializuje na vyhledávání IoT zařízení. Mimo jiné ukázal, jak jednoduché je oskenovat na internetu IP adresy a porty a zjistit IP adresu zařízení. A s trochou šikovnosti dokáží útočníci vyčíst i konkrétní typ zařízení, značku, model a používanou verzi softwaru.

“Díky veřejně dostupným databázím, které obsahující obecně známé zranitelnosti, nepotřebují mít útočníci speciální znalosti, ani vynakládat velké úsilí na to, aby zjistili, která zařízení lze snadno napadnout,” popsal Vince Steckler, generální ředitel Avastu. "I když jsou zařízení chráněna heslem, útočníci obvykle zkouší nejběžnější uživatelská jména a hesla, dokud se jim nepodaří je prolomit.”

Pokud se tento vážný problém nebude řešit, bude se s rostoucím počtem zařízení připojených k internetu jen zhoršovat.

“Pokud jsou webové kamery nastaveny na vysílání živých videí, útočníci se mohou snadno připojit a špehovat tak návštěvníky veletrhu nebo třeba i žáky škol a další obyvatele města bez jejich vědomí,“ doplňuje Vince Steckler.“ Již teď se z hlediska ochrany soukromí pohybujeme na tenkém ledě, nicméně mnohem více pravděpododné je, že útočníci napadnou nezabezpečenou webovou kameru, chytrou televizi nebo třeba kávovar a promění ji v bot, který může být jako součást většího botnetu využit při koordinovaných útocích na servery, které následně dokáží shodit velké webové stránky. V budoucnu možná uvidíme případy, kdy zločinci zneužijí IoT zařízení nic netušících uživatelů a získají jejich osobní údaje včetně těch finančních.”

Podobným útokům se lze vyhnout především tím, že lidé budou svůj software udržovat aktuální a také si budou vybírat složitě prolomitelná hesla. Kromě toho Avast v rámci své aplikace Avast Wi-Fi Finder, která pomáhá nelézt bezpečné a rychlé Wi-Fi sítě v okolí, představí novou funkci, která bude automaticky vyhledávat jednotlivé zranitelnosti zařízení připojených ke konkrétní Wi-Fi síti a v případě zjištěných potíží uživatele krok za krokem navede k řešení.

Avast Wi-Fi Finder lze stáhnout zdarma na Google Play. Nová funkce bude dostupná v létě.

Vince Steckler, generální ředitel Avastu, bude na veletrhu Mobile World Congress 2017 v Barceloně hovořit na téma IoT bezpečnosti a zároveň předvede živou ukázku toho, jak mohou být IoT zařízení zneužita a stát se součástí botnetu. Jeho prezentace proběhne ve středu 1. března od 14:15 v konferenční hale 4, v auditoriu 2.