Эксперты «Лаборатории Касперского» проанализировали популярную умную кормушку Dogness для домашних животных и обнаружили в ней ряд уязвимостей. Они позволяют злоумышленникам тайно шпионить за владельцами и удалённо управлять кормушкой. «Лаборатория Касперского» сообщила обо всех найденных уязвимостях производителю, сказано в пресс-релизе «ЛК».

Наиболее критические уязвимости связаны с небезопасным процессом обновления прошивки устройства и принципами жёсткого кодирования учётных данных, логина и пароля. Используя их, злоумышленники могут несанкционированно выполнять код, изменять настройки устройства и красть видео- и аудиозаписи со встроенных камеры и микрофона, которые гаджет отправляет на облачный сервер. Такие уязвимости могут превратить кормушку для домашних животных в инструмент слежки, а вмешательство в расписание кормления может поставить под угрозу здоровье питомца.

Как умный гаджет превращается в шпиона. Основная уязвимость анализируемой кормушки связана с использованием Telnet-сервера, в котором предусмотрена возможность удалённого root-доступа* через порт по умолчанию. При этом пароль для пользователя с таким типом доступа указан в прошивке и не может быть изменён. Если злоумышленник извлечёт прошивку, он получит возможность восстановить пароль и получить контроль над гаджетом — любым той же модели, поскольку они имеют одинаковые root-пароли. При условии, что атакующий, который эксплуатирует эту уязвимость, имеет удалённый доступ к домашней сети жертвы, он может выполнять на устройстве любой код, изменять настройки и красть конфиденциальные данные, включая видеозаписи, которые отправляются с камеры кормушки в облако.

Почему умные кормушки интересны злоумышленникам. Современные кормушки для животных — яркий пример умных устройств, которым не всегда уделяют внимание с точки зрения кибербезопасности. Злоумышленники могут использовать нестандартные точки входа для атак на внутреннюю сеть, а также получать дополнительную возможность для несанкционированной записи аудио и видео владельцев гаджетов.

«Люди используют все больше умных устройств в быту и порой не задумываются о связанных с ними киберрисках. Чего не скажешь о злоумышленниках, активно изучающих возможности, которые открывает перед ними доступ к интернету вещей. В данном случае производитель допустил фундаментальную ошибку на стадии разработки, которая делает устройство привлекательной целью для атакующих. Владельцам любых умных гаджетов важно быть бдительными и не забывать соблюдать базовые правила цифровой гигиены», — комментирует Владимир Дащенко, эксперт по кибербезопасности Kaspersky ICS CERT.

«Лаборатория Касперского» рекомендует владельцам умных устройств:

• регулярно обновлять прошивку и программное обеспечение всех подключённых устройств, поскольку обновления часто содержат важные исправления безопасности, устраняющие известные уязвимости;
• перед покупкой изучать информацию об устройстве и разработчике: доверять лучше проверенным крупным игрокам рынка;
• просматривать и ограничивать разрешения, предоставляемые мобильным приложениям, связанным с умной кормушкой для животных;
• предоставлять только необходимый доступ к функциям и данным и избегать предоставления чрезмерных привилегий;
• создавать отдельные подсети для подобных умных устройств, чтобы в случае его компрометации злоумышленник не получил доступ к другим активам в сети;
• обеспечивать безопасность мобильных устройств, через которые происходит управление умными гаджетами, с помощью надёжного защитного решения.