Ένα σοβαρό σφάλμα σχεδιασμού στις νέες συσκευές οικιακής ασφάλειας Gen 4 της Shelly μπορεί να αφήσει εκατομμύρια ευρωπαϊκά σπίτια εκτεθειμένα σε επιθέσεις, προειδοποιεί η Pen Test Partners.
Ερευνητές ασφαλείας σε εταιρεία συμβούλων κυβερνοασφάλειας υποστηρίζουν ότι εντόπισαν ένα σοβαρό κενό ασφαλείας στα προϊόντα έξυπνου σπιτιού Shelly, μια ευρωπαϊκή εταιρεία που παρέχει συστήματα οικιακής ασφάλειας.
Σήμερα, τα προϊόντα Shelly χρησιμοποιούνται σε περισσότερα από 5,2 εκατομμύρια ευρωπαϊκά νοικοκυριά. Αυτό το πρόβλημα σχεδιασμού δημιουργεί, σύμφωνα με την Pen Test Partners, μια αόρατη «πίσω πόρτα» προς ιδιωτικές κατοικίες, την οποία οι περισσότεροι χρήστες δεν θα εντοπίσουν ποτέ.
Οι νέες συσκευές έξυπνου σπιτιού Gen 4 της Shelly διατηρούν μόνιμα ενεργό το ασύρματο σημείο πρόσβασης που απαιτείται για την αρχική ρύθμιση, ακόμη και αφού συνδεθούν κανονικά σε ένα οικιακό δίκτυο Wi-Fi, υποστηρίζει η Pen Test Partners. Αυτό αφήνει ένα κρυφό δίκτυο να λειτουργεί στο παρασκήνιο, εν αγνοία και χωρίς τη συναίνεση των χρηστών, πολύ μετά την ολοκλήρωση της εγκατάστασης.
Αντίθετα, τα προηγούμενα μοντέλα της εταιρείας απενεργοποιούσαν αυτό το σημείο πρόσβασης αυτόματα, μόλις η συσκευή συνδεόταν σε οικιακό δίκτυο Wi-Fi.
Αυτό το κενό μπορεί να επιτρέψει σε οποιονδήποτε βρίσκεται έξω από μια ιδιωτική κατοικία να χρησιμοποιήσει το οικιακό δίκτυο Wi-Fi του ενοίκου για να ανοίξει την εξώπορτα, την πόρτα του γκαράζ ή την καγκελόπορτα, δημιουργώντας κίνδυνο φυσικής ασφάλειας από διαρρήξεις και εισβολές.
Ωστόσο, το πρόβλημα είναι πολύ βαθύτερο. Μια ευρύτερη έρευνα που πραγματοποίησε η Pen Test Partners υποστηρίζει ότι δεν πρόκειται απλώς για ένα ζήτημα σχεδιασμού.
Το υφιστάμενο κενό ασφαλείας στη σειρά Gen 4 σημαίνει ότι μία και μόνο ευάλωτη συσκευή μπορεί να χρησιμοποιηθεί ως εφαλτήριο για πρόσβαση σχεδόν σε κάθε συσκευή έξυπνου σπιτιού, είτε πρόκειται για προϊόν Shelly είτε όχι.
Καθώς πολλά «έξυπνα σπίτια» σε όλη την Ευρώπη λειτουργούν ακόμη με δίκτυα μικτών γενεών, με προϊόντα Shelly αλλά και άλλων εταιρειών, αυτό μπορεί να οδηγήσει σε σοβαρή έλλειψη προστασίας, τόσο online όσο και offline.
Καμία διορθωτική ενέργεια μέχρι στιγμής
Η Pen Test Partners ανέφερε ότι είχε ενημερώσει τη Shelly για αυτό το κενό ασφαλείας και ότι η εταιρεία δήλωσε πως η έκδοση Firmware 1.8.0, μια σειρά ενημερώσεων για τις συσκευές, θα το αντιμετώπιζε.
Έτσι, οι χρήστες έχουν μείνει να απενεργοποιούν χειροκίνητα τα σημεία πρόσβασης, κάτι που οι περισσότεροι ιδιοκτήτες σπιτιών ενδέχεται να μη γνωρίζουν καν ότι πρέπει να κάνουν.
«Θα έπρεπε να κάνουν μια μεγάλη εκστρατεία ενημέρωσης για να εξηγήσουν ότι έχει μείνει ανοιχτό ένα σημείο πρόσβασης και πώς να το απενεργοποιήσουν. Δεν το έχουν κάνει, επειδή πιθανότατα θα επηρεάσει τη φήμη τους», δήλωσε στο Euronews Next ο Κεν Μονρό, ιδρυτής της Pen Test Partners.
Η Shelly είπε στο Euronews Next ότι οι χρήστες που ακολουθούν τις επίσημες διαδικασίες ρύθμισης μέσω της εφαρμογής για κινητά έχουν το σημείο πρόσβασης απενεργοποιημένο αυτόματα.
Οι χρήστες που επιλέγουν χειροκίνητη ρύθμιση λαμβάνουν προειδοποιήσεις για να ασφαλίσουν το σημείο πρόσβασης. Μια επερχόμενη ενημέρωση firmware θα απενεργοποιεί αυτόματα τα σημεία πρόσβασης έπειτα από ένα προκαθορισμένο χρονικό διάστημα.
«Θα θέλαμε να υπογραμμίσουμε ότι όλες οι ροές ρύθμισης και τα ψηφιακά εργαλεία στο οικοσύστημα Shelly, συμπεριλαμβανομένης της εφαρμογής για κινητά και της διεπαφής web cloud, παρέχουν σαφείς οδηγίες στους χρήστες για την ασφαλή ρύθμιση των συσκευών τους», δήλωσε εκπρόσωπος της Shelly στο Euronews Next.
«Κάθε επιλογή ρύθμισης που γίνεται εκτός αυτών των προτεινόμενων διαδικασιών, συμπεριλαμβανομένου του να παραμένει μη ασφαλές το σημείο πρόσβασης, αποτελεί τελικά ζήτημα προτίμησης του χρήστη και δεν εμπίπτει στο πεδίο άμεσου ελέγχου της πλατφόρμας.»
«Όπως συμβαίνει με κάθε συνδεδεμένη συσκευή, οι χρήστες παραμένουν ελεύθεροι να ρυθμίζουν το υλικό τους σύμφωνα με τις ανάγκες τους και τους ενθαρρύνουμε ενεργά να ακολουθούν τις συστάσεις ασφαλείας που παρέχονται κατά τη ρύθμιση», πρόσθεσε.
Η Shelly επισήμανε επίσης ότι σε μια από τις επόμενες εκδόσεις firmware θα εισαγάγει μια βελτίωση, χάρη στην οποία το σημείο πρόσβασης θα μπορεί να απενεργοποιείται αυτόματα έπειτα από προκαθορισμένο χρόνο, εκτός αν απαιτείται ρητά για ρυθμίσεις ή αρχικοποίηση.
Αύξηση των κενών ασφαλείας σε συνδεδεμένες συσκευές
Τα τελευταία χρόνια, όλο και περισσότερες συσκευές έξυπνου σπιτιού και άλλα συνδεδεμένα προϊόντα δέχονται πυρά για σοβαρές ευπάθειες. Σε αυτά περιλαμβάνονται τα έξυπνα κουδούνια Ring της Amazon και οι κάμερες ασφαλείας Dahua.
«Ο τομέας εξειδίκευσής μας είναι οι συνδεδεμένες συσκευές και δοκιμάζουμε κάθε είδους συστήματα έξυπνου σπιτιού», σημείωσε ο Μονρό.
«Έχουμε δει παρόμοια προβλήματα σε μετατροπείς ηλιακής ενέργειας και έχουμε εντοπίσει ακόμη και παρόμοιο κενό ασφαλείας σε αυτοκίνητο, πριν από περισσότερο από δέκα χρόνια.»
Η διαρροή δεδομένων, ιδίως όσον αφορά τα δεδομένα χρήσης και συμπεριφοράς από αυτές τις συσκευές, αποτελεί ένα ακόμη βασικό ζήτημα.
«Μερικές φορές διαπιστώνουμε ότι διαρρέουν κατά λάθος δεδομένα χρήσης και συμπεριφοράς των ανθρώπων. Οι κατασκευαστές έξυπνων συσκευών συλλέγουν δεδομένα χρήσης για να βελτιώνουν τα προϊόντα τους και συχνά ξεχνούν ότι τα ατομικά δεδομένα μπορούν να είναι ιδιαίτερα αποκαλυπτικά», ανέφερε ο Μονρό.