Com ligação à Internet e gadgets cada vez mais comum, é importante lembrar que eles ainda são relativamente novos e, portanto, não são tão seguros como eles devem ser. Falhas serão descobertos e corrigidos antes muitas vezes você não precisa se preocupar com alguém a tirar proveito delas para prejudicá-lo de alguma forma.
Um bom exemplo de que isso aconteceu no ano passado, durante uma DEF CON conferência de segurança. Duas white hat hackers mostrou como um termostato inteligente pode transformar-se em um pesadelo. Em dois dias, eles conseguiram infectar o dispositivo com Ransomware. E um resgate necessário a ser pago para restaurar a funcionalidade do dispositivo. Ele não é necessariamente algo que você deve se preocupar, mas a possibilidade de alguém ser capaz de roubar o seu dispositivo conectado à Internet ainda é bastante assustador. Os dois pesquisadores de segurança que hackeado o termostato na verdade não quero prejudicar ninguém, eles só quis mostrar como algumas Internet das Coisas dispositivos não têm de simples medidas de segurança implementadas.
“Nossa intenção era chamar a atenção para o mau estado de segurança, em muitos nacional de IoT dispositivos. Também para aumentar a consciência da segurança da comunidade de pesquisa que não é tudo sobre a pirataria de software. Hardware hacking é muitas vezes mais fácil do vetor,” os pesquisadores explicam no seu blog post.
Como ele funciona
Os dois pesquisadores, Andrew Tierney e Ken Munro, se aproveitou de uma vulnerabilidade em um termostato e infectado com Ransomware. Eles não querem revelar o que a empresa do termostato eles conseguiram hackear, porque naquela época, eles ainda não haviam contatado a empresa com suas descobertas.
Então, o que o Ransomware gostaria de fazer é que iria bloquear os usuários de forma que eles não podem alterar nada, em seguida, altere o calor 99 graus e, finalmente, peça para um PIN. O PIN, teria de alterar a cada 30 segundos para que o usuário teria um tempo difícil de adivinhar. Particular Ransomware foi criado para pedir 1 Bitcoin para desbloquear o dispositivo.
“Temos de comando de injeção de por o cartão SD, portanto, era um local de ataque. Com o root, você pode definir o alarme (e defina a frequência muito alta), e pode calor e frio ao mesmo tempo,” Tierney explained to Informações Revista de Segurança. Isso não quer dizer que é impossível fazer esse trabalho, sem acesso físico ao dispositivo. O termostato que foi utilizado foi a executar uma versão do Linux, tinha um visor de LCD, e um cartão SD. O cartão SD foi lá para que os usuários possam criar seus próprios aquecimento horários, fazer upload de imagens personalizadas e protetores de tela. Se os usuários o download de um aplicativo malicioso ou uma imagem para o cartão SD, o malware iria ser executados no dispositivo.
“Os pesquisadores descobriram que o termostato não realmente verificar que tipo de arquivos e execução. Em teoria, isso poderia permitir que um hacker mal-intencionado para ocultar malware em um aplicativo ou o que parece uma foto e enganar os usuários para transferi-lo sobre o termostato, fazendo-o funcionar automaticamente”, a placa-Mãe reports.
Não é fácil para puxar de um ataque
Os pesquisadores não dizer que seria um ataque fácil para retirar, mas os usuários o download de algo malicioso em seus termostatos não é para além do campo das possibilidades.
“Este exercício foi de cerca de demonstrar um problema e incentivar a indústria para corrigi-lo. Vai agentes maliciosos fazer isso no futuro? Talvez, embora a esperança de que a IoT indústria tem resolvido esses problemas caminho diante de ataques de se tornar uma realidade”, dizem os pesquisadores.