Sikkerhedskonsulent hackede et kapselhotel for at holde kæft på sin larmende nabo

Genudgivet af Platon

Abonnenter: 0

En sikkerhedsforsker hackede et hotel for at lære sin støjende nabo en lektie – han var i stand til at styre sit lys, sin seng og sin ventilator. Det er endnu et eksempel på mangel på tilstrækkelig beskyttelse til smarte enheder.

“Alt skete, da jeg rejste i et fremmed land på ferie. Jeg reserverede et par nætter på, hvad vi kalder et kapselhotel, og jeg bemærkede, at de brugte flere forskellige teknologier,” sagde Kya Supa, sikkerhedskonsulent hos LEXFO, i begyndelsen af sin præsentation på Black Hat USA 2021-konferencen.

Kapselhotel refererer til små værelser stablet side om side med intet andet end en seng i dem. Rummet er normalt kun adskilt af gardinet, og badeværelset og stuen er placeret i fællesarealet.

Generelt er denne bolig billig, og gæsterne - stille og respektfulde over for hinanden. Men det var Bob ikke. Supas nabo, som han omtalte som Bob, talte konstant i telefon efter midnat.

"Han vækkede mig, fordi han ringede klokken 2 om morgenen, og han talte meget højt," huskede Supa.

Da det forstyrrede Supa, bad han pænt om at tone det ned. Da Bob ikke tog det i betragtning, besluttede Supa at lære ham en lektie.

"Jeg tager min søvn alvorligt. Jeg tænkte, at det ville være rart at tage kontrol over hans værelse og få ham til at få en dejlig aften”, sagde han.

Supa opdagede, at du skal bruge et NFC-emblem for at få adgang til gulvet, og rummet styres af en iPod touch ved hjælp af Bluetooth og WiFi. Efter lidt søgning fandt han ud af, at hvert værelse havde et par Internet of Things (IoT) enheder fra Nasnos leverandør. iPod var under kontrol af det, der kaldes guidet adgang – den låser enheden til at køre et enkelt program. Supa fik kontrol over enheden, lod ham løbe tør for strøm og genstartede den, og opdagede, at Nasnos-netværket brugte en forældet WEP-protokol. I sidste ende tog det seks sårbarheder til at tage kontrol over sin larmende nabos værelse og hele hotellet.

Supa legede med at tænde og slukke lyset på Bobs værelse hver anden time om natten, hvilket fik hans seng til at kollapse. Sikkerhedskonsulenten kontaktede efterfølgende hotellet, og dets ledere skiftede til en mere sikker arkitektur.

I dette tilfælde ville Supa blot øge bevidstheden. Udover at rode med Bob. Men IoT-enheder er vidt udbredt, og de fleste af de hackere, der trænger ind i dem, er bestemt ikke så gode som Supa.

Nokia Threat Intelligence Report fundet at internetforbundne eller IoT-enheder nu udgør omkring 33 % af de inficerede enheder, op fra omkring 16 % i 2019.

“Jeg sidestiller hjemmemiljøet til en slags kaffebar, hvilket betyder, at de fleste menneskers hjemmenetværk i de fleste tilfælde er ret beskidte. De har en masse IoT-enheder, hvoraf mange er ret nemt at udnytte,” Mike Wilson, CTO for Enzoic, et Colorado-baseret cybersikkerhedsfirma, fortalte engang CyberNews.

IoT forbrugerenheder er også navngivet en af de største trusler mod virksomhedens netværk. Hjem fulde af IoT-enheder med ringe eller dårlige sikkerhedsstandarder udsætter allerede virksomheder for sårbarheder. De fleste hjemmebrugere har ikke tid eller lyst til at opdatere adgangskoder eller firmware på hver enhed. I mellemtiden scanner ransomware-angribere netværk på udkig efter det nemmeste indgangspunkt via en svag IoT-enhed.

Nye undersøgelse fra CyberNews Team afsløret at over 380 tusinde IP-kameraer kan være let tilgængelige på verdensplan, med USA og Tyskland i spidsen. Faktisk er en ny smart bil også en IoT-enhed, og derfor det kan hackes. Og hvis du tror, at dit soveværelse er uden for rækkevidde, kan selv dit sexlegetøj spionere på dig.