Những lỗ hổng gồm lỗi ở cơ sở hạ tầng đám mây và mã thực thi từ xa, khiến bên thứ ba chiếm được quyền “siêu người dùng” (super user) để truy cập và điều khiển hệ thống nhà thông minh.
Những phát hiện trên đã được chia sẻ với đơn vị cung cấp nhà thông minh Fibaro để ngay lập tức giải quyết những lỗ hổng bảo mật nguy hiểm này.
Hoạt động bảo mật của Internet vạn vật (IoT) đã được thực hiện nhiều năm trở lại đây. Trong sự phát triển và mở rộng không ngừng của IoT, số lượng sản phẩm và giải pháp bảo mật mới tỷ lệ thuận với tần suất xuất hiện và độ nguy hiểm của các mối đe dọa mạng.
Do đó, tầm quan trọng của công việc nghiên cứu bảo mật IoT vẫn không hề thuyên giảm. Để phục vụ hoạt động nghiên cứu, một nhân viên của Kaspersky đã “thách thức” các chuyên gia của công ty khảo sát hệ thống nhà thông minh của mình.
Nhân viên này đã cấp cho Kaspersky quyền truy cập vào hệ thống điều khiển, bởi hệ thống này cho phép kết nối và giám sát hoạt động chung trong toàn bộ ngôi nhà. Một khi chiếm được quyền điều khiển hệ thống, tin tặc (hacker) có thể xâm nhập vào hệ sinh thái của nhà thông minh để thực hiện bất cứ hoạt động gì, từ gián điệp, trộm cắp cho đến hành vi phá hoại.
Ở giai đoạn đầu, quá trình thu thập thông tin nghiên cứu cho thấy một vài vectơ tấn công khả nghi: thông qua giao thức truyền thông không dây Z-Wave thường được dùng để điều khiển các thiết bị trong gia đình bằng Internet; thông qua giao diện quản trị trang web; và thông qua cơ sở hạ tầng đám mây.
Trong đó, cơ sở hạ tầng đám mây dường như là phương thức hiệu quả nhất để hacker tấn công: lỗ hổng trong tiến trình thực thi mã từ xa đã được phát hiện thông qua một bài kiểm tra hoạt động phản hồi từ thiết bị.
Bằng cách này, hacker sẽ chiếm được quyền truy cập vào tất cả bản sao lưu đã được tải lên đám mây từ trung tâm thông tin Fibaro, sau đó chúng tải các bản sao lưu bị nhiễm mã độc lên hệ thống đám mây rồi tải chúng xuống một hệ thống điều khiển cụ thể nào đó – cho dù chúng không có quyền truy cập hệ thống đó đi chăng nữa.
Để hoàn thành thử nghiệm, các chuyên gia của Kaspersky đã thực hiện một cuộc tấn công thử nghiệm vào hệ thống điều khiển. Họ cũng đã chuẩn bị một bản sao lưu với một tập lệnh được phát triển riêng đã được cài mật khẩu.
Sau đó, họ gửi email và tin nhắn SMS đến chủ sở hữu của thiết bị qua đám mây, nói rằng anh ta hãy cập nhật hệ thống điều khiển. Theo yêu cầu, “nạn nhân” tải xuống bản sao lưu bị nhiễm. Điều này cho phép các nhà nghiên cứu chiếm đoạt quyền siêu người dùng đối với hệ thống điều khiển nhà thông minh, cho phép họ thao túng hệ sinh thái được kết nối.
Để chứng minh đã xâm nhập thành công, các nhà nghiên cứu đã thay đổi giai điệu trên đồng hồ báo thức của chủ ngôi nhà.
Pavel Cheremushkin, nhà nghiên cứu bảo mật tại Kaspersky ICS CERT cho biết: “Trên thực tế, một khi kẻ tấn công có quyền truy cập vào hệ thống điều khiển ngôi nhà, khó mà chúng chỉ dừng lại ở trò “trêu chọc” với đồng hồ báo thức. Một trong những vai trò chính của các thiết bị thông minh là làm sao phải kết nối được tất cả với nhau để chủ sở hữu có thể quản lý chúng chỉ từ một trung tâm duy nhất”.
Một điều quan trọng, theo nhà nghiên cứu, là nghiên cứu lần này nhắm vào một hệ thống đang hoạt động thực tế (trước đây, hầu hết các nghiên cứu được thực hiện trong phòng thí nghiệm). Kết quả đã chỉ ra rằng mặc dù nhận thức về bảo mật IoT đang gia tăng, vẫn còn những vấn đề cần được giải quyết, đặc biệt là khi các thiết bị nghiên cứu được sản xuất hàng loạt và được sử dụng trong hệ thống các nhà thông minh.
Để giữ an toàn cho thiết bị, người dùng nên luôn xem xét các rủi ro bảo mật khi sử dụng hệ sinh thái nhà thông minh. Trước khi mua thiết bị IoT, hãy cập nhật kỹ các tin tức về lỗ hổng bảo mật hiện có
Cùng với những lỗi thường gặp trong các sản phẩm mới, thiết bị được ra mắt gần đây có thể có các vấn đề bảo mật chưa được phát hiện. Do đó, người dùng nên chọn mua sản phẩm đã từng được cập nhật phần mềm thay vì sản phẩm mới ra mắt trên thị trường
Người dùng nên đảm bảo tất cả các thiết bị được cập nhật chương trình bảo mật mới nhất
Ngoài ra, người dùng cũng có thể xem xét Kaspersky Security Cloud để bảo vệ tài khoản trực tuyến và mạng Wi-Fi trong gia đình, đảm bảo mạng trong gia đình ở chế độ riêng tư. Phần mềm sẽ thông báo cho người dùng trong trường hợp có người lạ kết nối, bảo vệ các thiết bị IoT gia đình, tự động cảnh báo đe dọa an ninh và kịp thời đưa ra lời khuyên từ chuyên gia.