Фото themunicheye.com
Хакер или группа хакеров, LimitedResults, ведущие блог о безопасности «железа», сообщили , что обнаружили «умеренные и серьезные» уязвимости смарт-ламп или «умных лампочек», которые позволяют узнать данные для подключения к Wi-Fi.
Как пишет издание Latest Hacking News, для своих экспериментов хакер использовал лампочку LIFX mini white, которая стоит около 25 долларов.
Он вытащил чип из лампы с помощью ручной пилы. Далее устройство было подключено к другому устройству через USB-порт. Эксперт объяснил, что все данные в чипе лампочки не защищены и легкочитаемы. При желании можно подключиться к чипу лампочки, выброшенной из другого дома, и узнать пароль от Wi-Fi в помещении, где до этого работало устройство.
Хакеру также удалось извлечь секретный ключ шифрования из памяти лампочки. То есть эта уязвимость может позволить любому обмануть законного пользователя и дистанционно управлять освещением.
Все манипуляции заняли меньше часа.
Кроме того, в устройстве не оказалось никаких настроек безопасности. LimitedResults заявили, что не была настроена безопасная загрузка, гарантирующая, что устройство не может управляться неавторизованным софтом или другими устройствами, нет флэш-шифрования и JTAG был включён, что означает, что любой мог записать данные в память устройства.
По данным компании LIFX, уязвимости, обнаруженные хакером, с тех пор были устранены.
В последнее время сфера безопасности IoT показывает серьезные недостатки. Компания Symantec провела собственный тест на ноунейм-лампах ещё в декабре и обнаружила, что приложение, используемое для управления лампочкой, отправляет незашифрованные запросы через интернет на серверную часть облака. Простое получение несанкционированного доступа к трафику может привести к перехвату данных и банальному перебору хэшированных паролей.