Кормушки для прослушки: обнаружены уязвимости в популярных умных кормушках для домашних животных – ФОТО

Эксперты «Лаборатории Касперского» проанализировали популярную умную кормушку для домашних животных и обнаружили в ней ряд уязвимостей.

Они позволяют злоумышленникам тайно шпионить за владельцами и удалённо управлять кормушкой. «Лаборатория Касперского» сообщила обо всех найденных уязвимостях производителю.

Наиболее критические уязвимости связаны с небезопасным процессом обновления прошивки устройства и принципами жёсткого кодирования учётных данных, логина и пароля. Используя их, злоумышленники могут несанкционированно выполнять код, изменять настройки устройства и красть видео- и аудиозаписи со встроенных камеры и микрофона, которые гаджет отправляет на облачный сервер. Такие уязвимости могут превратить кормушку для домашних животных в инструмент слежки, а вмешательство в расписание кормления может поставить под угрозу здоровье питомца.

Как безобидный гаджет превращается в шпиона. Уязвимость, которая позволяет злоумышленникам получить контроль над кормушкой, связана с шифрованием пользовательских учетных данных (логина и пароля) MQTT*-брокера. Оно организовано с использованием принципов предустановленных ключей шифрования в исполняемом файле, что в итоге делает его одинаковым для всех устройств этого модельного ряда. Это означает, что злоумышленник, получивший контроль над одним таким устройством, может в дальнейшем успешно атаковать кормушки этого же типа других владельцев.

После взлома атакующий может перехватывать команды владельца кормушки и использовать их в своих целях, получая полный контроль над устройством.

Почему умные кормушки интересны злоумышленникам. Современные кормушки для животных — яркий пример умных устройств, которым не всегда уделяют внимание с точки зрения кибербезопасности. Злоумышленники могут использовать нестандартные точки входа для атак на внутреннюю сеть, а также получать дополнительную возможность для несанкционированной записи аудио и видео владельцев гаджетов.

«По мере развития интернета вещей и того, как наши дома становятся умнее, они становятся и более уязвимы к киберугрозам. А ведь приманкой для злоумышленников может стать любое подключенное устройство, включая столь неочевидное как умная кормушка для животных. К сожалению, в данном случае производитель допустил фундаментальную ошибку на стадии разработки, которая и сделала устройство привлекательной мишенью. Таким образом, если у вас есть умные гаджеты, призываем быть бдительными и соблюдать основы цифровой гигиены», — комментирует Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.

«Лаборатория Касперского» рекомендует владельцам умных устройств:

• регулярно обновлять прошивку и программное обеспечение всех подключённых устройств, поскольку обновления часто содержат важные исправления безопасности, устраняющие известные уязвимости;
• перед покупкой изучать информацию об устройстве и разработчике: доверять лучше проверенным крупным игрокам рынка;
• просматривать и ограничивать разрешения, предоставляемые мобильным приложениям, связанным с умной кормушкой для животных; предоставлять только необходимый доступ к функциям и данным и избегать предоставления чрезмерных привилегий;
• создавать отдельные подсети для подобных умных устройств, чтобы в случае его компрометации злоумышленник не получил доступ к другим активам в сети;
• обеспечивать безопасность мобильных устройств, через которые происходит управление умными гаджетами, с помощью надёжного защитного решения.

Более подробная информация об исследовании экспертов «Лаборатории Касперского» доступна на сайте: https://securelist.com/smart-pet-feeder-vulnerabilities/110028/.

* MQTT брокер – тип сервисной системы, которая координирует сообщения между разными активами в сети, отвечает за фильтрацию сообщений, идентификацию клиентов и доставку им нужных сообщений.