Jak narůstá počet chytrých zařízení IoT, přibývá i útoků na ně.
Na bezpečnost zařízení se také více zaměřují penetrační testeři. Testeři společnosti ESET odhalili velké množství vážných bezpečnostních zranitelností ve třech různých ovládacích centrech pro chytré domácnosti. Svá zjištění nahlásili výrobcům, kteří již vydali příslušné opravy.
Testeři konkrétně odhalili zranitelnosti u jednotek Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) a eLAN-RF-003. Některé nedostatky byly natolik vážné, že je útočník mohl zneužít k provedení útoku man-in-the-middle, odposlechu oběti, vytvoření backdooru nebo k získání oprávnění administrátora zařízení. V nejhorším možném případě by útočník dokázal získat kontrolu nad centrální jednotkou a k ní připojeným zařízením.
Výsledky výzkumu mají dokazovat, že chybné nastavení, chybějící šifrování nebo autentizace nejsou problém jen levných či nekvalitních zařízení, ale objevují se i u velmi kvalitního hardwaru.
V případě Fibaro Home Center Lite zranitelnosti této centrální jednotky umožnily útočníkovi vytvořit SSH backdoor a získat tak úplnou kontrolu nad zařízením. Další zařízení, Homematic CCU2 od značky eQ-3, vykazovalo během testování neméně vážnou bezpečnostní chybu. Útočník například mohl provést vzdálené spuštění kódu. Tato chyba umožňuje útočníkovi získat plný přístup k jednotce a potenciálně i ke všem k ní připojeným zařízením. Třetí zranitelnou centrální jednotkou byla RF krabička eLAN-RF-003. Tento systém používal neadekvátní autentizaci a bylo tak možné provádět příkazy bez přihlášení. Útočník mohl přimět zařízení k prozrazení citlivých dat, jako je heslo či detaily konfigurace.
Během posledního roku odhalil tým analytiků řadu dalších podobných zranitelností v těch nejpopulárnějších zařízeních. Mezi nejvážnější patřila zranitelnost systému Amazon Echo prostřednictvím tzv. KRACKu. Bylo možné tak dešifrovat komunikaci mezi uživatelem a jeho asistentkou Alexou. Mezi další významné úspěchy týmu ESET patří také odhalení zranitelnosti kamer D-Link. Kvůli nešifrované komunikaci mezi kamerou a webových rozhraním mohl útočník provést útok man-in-the-middle a sledovat tak záznam kamery bez vědomí jejího majitele.
