A Shelly új, negyedik generációs otthonbiztonsági eszközeiben talált súlyos tervezési hiba európai házak millióit teheti sebezhetővé – állítja a Pen Test Partners.
Egy kibervédelmi tanácsadó cég biztonsági kutatói azt állítják, hogy komoly sebezhetőséget találtak a Shelly okosotthon-termékeiben, amely egy európai otthonbiztonsági rendszereket gyártó vállalat.
Jelenleg több mint 5,2 millió európai otthonban használnak Shelly-termékeket. A Pen Test Partners szerint ez a tervezési hiba láthatatlan hátsó ajtót nyit a magánlakásokba, amelyre a legtöbb felhasználó soha nem fog rájönni.
A Shelly új Gen 4 okosotthon eszközei a Pen Test Partners állítása szerint a kezdeti beállításhoz szükséges nyitott vezeték nélküli hozzáférési pontot akkor is folyamatosan bekapcsolva hagyják, miután az eszközt rendben csatlakoztatták az otthoni wifi-hálózathoz. Így a telepítés után jóval később is egy rejtett hálózat fut a háttérben, a felhasználó tudta és beleegyezése nélkül.
Ezzel szemben a vállalat korábbi modelljei automatikusan kikapcsolták ezt a hozzáférési pontot, miután az eszköz csatlakozott az otthoni wifi-hálózathoz.
Ez a hiba lehetővé teheti, hogy bárki, aki egy magánlakás közelében tartózkodik, a lakó wifi-hálózatát használva kinyissa a bejárati ajtót, a garázskaput vagy a kertkaput, ami valós fizikai biztonsági kockázatot jelent betörések és lopások szempontjából.
Csakhogy a probléma ennél jóval súlyosabb. A Pen Test Partners átfogóbb vizsgálata szerint nem pusztán egyszerű tervezési hibáról van szó.
A jelenlegi, negyedik generációs sebezhetőség azt jelenti, hogy már egyetlen érintett eszközt is fel lehet használni ugródeszkaként szinte az összes okosotthon-eszközhöz való hozzáféréshez, függetlenül attól, hogy Shelly-termékekről van szó vagy sem.
Mivel Európa-szerte sok okosotthonban vegyes generációjú hálózatok működnek, Shelly- és más gyártók termékeivel együtt, ez súlyos biztonsági hiányosságokat okozhat, online és offline egyaránt.
Még nem történt érdemi intézkedés
A Pen Test Partners közölte, hogy értesítette Shellyt a biztonsági résről, a cég pedig azt mondta, hogy az 1.8.0-s firmware, vagyis egy sor készülékfrissítés foglalkozik majd ezzel a hibával.
Addig azonban a felhasználókra hárul, hogy kézzel kapcsolják ki a hozzáférési pontokat, amiről a legtöbb lakástulajdonos vélhetően nem is tudja, hogy szükséges lenne.
„Nagyszabású tájékoztató kampányt kellene indítaniuk, amelyben elmagyarázzák, hogy egy hozzáférési pont nyitva maradt, és azt is, hogyan lehet kikapcsolni. Ezt nem tették meg, mert valószínűleg ártana a hírnevüknek” – mondta Ken Munro, a Pen Test Partners alapítója az Euronews Nextnek.
A Shelly az Euronews Nextnek úgy nyilatkozott, hogy azoknál a felhasználóknál, akik a hivatalos beállítási folyamatot követik a mobilalkalmazáson keresztül, a hozzáférési pont automatikusan kikapcsol.
Azok a felhasználók, akik a kézi konfigurációt választják, figyelmeztetést kapnak a hozzáférési pont biztosítására. A közelgő firmware-frissítés egy meghatározott idő elteltével automatikusan le fogja tiltani a hozzáférési pontokat.
„Szeretnénk hangsúlyozni, hogy a Shelly-ökoszisztémán belüli összes beállítási folyamat és digitális felület – beleértve a mobilalkalmazást és a felhőalapú webes felületet is – egyértelmű útmutatást ad a felhasználóknak eszközeik védelméhez” – mondta a Shelly szóvivője az Euronews Nextnek.
„Az ezeken az ajánlott folyamatokon kívül meghozott konfigurációs döntések, beleértve a hozzáférési pont nyitva hagyását is, végső soron a felhasználó döntésén múlnak, és kívül esnek a platform közvetlen ellenőrzési körén.
Ahogy bármely más csatlakoztatott eszköz esetében, a felhasználók szabadon konfigurálhatják a hardvert saját igényeik szerint, és mi kifejezetten bátorítjuk őket, hogy kövessék a beállítás során adott biztonsági ajánlásokat” – tette hozzá.
A Shelly azt is kiemelte, hogy a következő firmware-verzióban olyan fejlesztést vezetnek be, amely lehetővé teszi, hogy a hozzáférési pont egy előre meghatározott időtúllépés után automatikusan kikapcsoljon, hacsak kifejezetten nincs rá szükség a konfigurációhoz vagy az üzembe helyezéshez.
Egyre gyakoribbak a sebezhetőségek a csatlakoztatott eszközöknél
Az elmúlt években egyre több okosotthon-eszköz és más csatlakoztatott készülék került a kritikák kereszttüzébe jelentős sebezhetőségek miatt. Ide tartoznak például az Amazon Ring csengői és a Dahua biztonsági kamerái is.
„A szakterületünk a csatlakoztatott eszközök, és mindenféle okosotthon-rendszert tesztelünk” – jegyezte meg Munro.
„Hasonló problémákat láttunk napelemes invertereknél, sőt több mint tíz éve egy autóban is találtunk hasonló sebezhetőséget.”
Az adatszivárgás, különösen a használati és viselkedési adatok kiszivárgása ezekből az okosotthon-eszközökből, egy másik kulcsfontosságú probléma.
„Előfordul, hogy emberek használati és viselkedési adatai véletlenül kikerülnek. Az okoseszköz-gyártók használati adatokat gyűjtenek termékeik fejlesztése érdekében, és gyakran elfelejtik, hogy az egyedi adatok önmagukban is nagyon sokat elárulhatnak” – mondta Munro.