Jeśli masz głośniki Bose lub Sonos, to nie dziw się, gdy sąsiad puści u ciebie swoją muzykę

News/Bezpieczeństwo 27.12.2017
Jeśli masz głośniki Bose lub Sonos, to nie dziw się, gdy sąsiad puści u ciebie swoją muzykę

Jeśli masz głośniki Bose lub Sonos, to nie dziw się, gdy sąsiad puści u ciebie swoją muzykę

Niektóre głośniki Bose i Sonos mogą sprawić użytkownikom głośną niespodziankę. Badacze z TrendMicro odkryli, jak się do nich dostać i całą noc puszczać Jingle Bells. Albo sterować twoim domem. 

Niektóre głośniki firm Sonos i Bose, które zostały połączone z siecią bezprzewodową, można łatwo znaleźć używając narzędzi do skanowania NMap i Shodan. Do namierzonego sprzętu można się dostać i przejąć nad nim kontrolę. Na szczęście możliwe jest to tylko, jeśli znajdujemy się w tej samej sieci, jednak brak podstawowych zabezpieczeń wbudowanych w oprogramowanie urządzeń audio powinien budzić niepokój.

Od zwykłego żartu do sterowania cudzym domem.

Każde urządzenie podpięte do tej samej sieci, co zagrożone modele głośników, może uzyskać dostęp do nich poprzez API służące do kontaktowania się z aplikacjami do odtwarzania muzyki. Można w ten sposób nakazać głośnikom puszczenie dowolnego pliku audio umieszczonego w Internecie. Irytujące, ale niegroźne. Dopóki nie mamy w domu urządzeń sterowanych głosem.

Badacze przeprowadzili mały eksperyment, żeby sprawdzić, czy da się zmanipulować w ten sposób Amazon Echo lub Google Home. Alexa, asystentka głosowa Amazonu, jest zainstalowana na głośnikach Sonos One.

Badacze byli w stanie przesyłać jej pliki głosowe w taki sposób, żeby Alexa rozmawiała sama ze sobą i wykonywała wydawane przez siebie komendy. To daje możliwość manipulowania wszystkimi parametrami kontrolowanymi przez Alexę. W ręce tej asystentki można oddać chociażby kierowanie termostatem, światłem, kamerami, czy systemem zabezpieczeń.

To symptom większego problemu.

Poproszony przez Wired o komentarz przedstawiciel Sonos odpowiedział:

Odnosicie się do złej konfiguracji sieci użytkownika. To wpływa na bardzo małą liczbę osób, które korzystają z tych urządzeń w sieciach publicznych. Nie zalecamy takich ustawień naszym klientom.

Z tej wypowiedzi wyłania się kilka problemów. Po pierwsze brak poczucia odpowiedzialności za bezpieczeństwo swoich klientów. Włamania do sieci się zdarzają i będą zdarzać. Każde urządzenie powinno mieć własne dodatkowe systemy obronne, które przynajmniej utrudnią manipulację osobom niepowołanym. Łączy się z nim drugie założenie, mianowicie, że sieć, do której klient jest podłączony, jest bezpieczna i taka będzie w przyszłości. Trzecie to optymistyczne założeniem że klienci czytają instrukcje i korzystają tylko z zalecanych ustawień. To jak zakładać, że osoby instalujące oprogramowanie czytają uważnie wszystkie okienka, zanim klikną “Zgadzam się”.

Z każdym dniem korzystamy z coraz większej liczby urządzeń podłączonych do Sieci. Nasze domy powoli zmieniają się w systemy, smart sprzęty zaczynają być normą, a nie wyjątkiem, urządzenia elektroniczne są sterowalne i połączone ze sobą. Za bezpieczeństwo tej siatki jest odpowiedzialny każdy element. Wydawałoby się, że producenci sprzętu powinni już to zrozumieć.

Dołącz do dyskusji