Korábban sokszor esett már szó az egyre nagyobb számban használt IoT eszközök biztonságáról, ahol elképesztő hiányosságok sorakoznak: clear textben utazó adatok, nincs hitelesítés, hiányzó brute force elleni védelem, bedrótozott hardcoded root passwordok használata, a titkosítás hiánya, törölhetetlen profilok, vagy a teljességgel hiányzó rendszeres hibajavító frissítések. Ehhez jött aztán később a kamerás okosporszívók adatszivárgása, egy-két meredek sztorival.

Még a kifejezetten orvosi eszközök is hihetetlen sebezhetőségekkel buknak le, például az inzulin pumpás történet, ahol az etikus hacker kicsit belenézett a dolgokba, és azt látta, távoli támadó hamis utasítást adhat inzulin injekció jogosulatlan beadására.

De emlékezetes lehet az is, amikor a korábbi amerikai alelnök, Dick Cheney - aki addigra már öt szívrohamot élt túl - 2013-ban az orvosok letiltották a pacemakerében a vezeték nélküli képességeket, hogy ezzel kiküszöböljék egy esetleges gyilkossági kísérlet veszélyét.

Ehhez képest a tömeggyártott általános használatú eszközöknél sokkal alacsonyabb a léc, és például a robotporszívók esetében is előjöttek nyugtalanító hírek. 2018-ban biztonsági szakértők olyan biztonsági hiányosságokat találtak a Dongguan Diqee 360 robotporszívóban, melyek kihasználásával távoli támadók képesek átvenni a készülék irányítását, beleértve az éjjellátó kamera és a mikrofon vezérlését is.

Ezek az eszközök kamerájukkal 360 fokos szögben 30 kép/sec sebességgel képesek felvételeket készíteni, és ezek aztán ki is tudnak szivárogni. Ilyen intim fotók kikerülése - például hálószoba, fürdőszoba, WC belsőkből származó kényes képek kikerülése nagyon durva adatsértés, gyakorlatilag kémkedés a tulajdonos lakásában.

A WeliveSecurity friss posztja most egy DEFCON előadás kapcsán ismét elővette a témát, mivel Las Vegasban Dennis Giese egy komplett előadást szentelt a problémának. Dennis igazi feketeöves fundamentalista, fanatikus hacker specialistája a területnek. Az előadás témája az volt, hogy hogyan akadályozhatjuk meg, hogy robotporszívó adatokat küldjön a gyártóknak vagy bárhová.

Az egyik kulcskérdés például, hogy amit a gyártó állít a leírásban - például hogy nem küld semmilyen adatot a felhőbe, nem készít rejtett biztonsági másolatokat, és hogy az eszközön lévő kamerák egyedüli célja, hogy elkerülje az ütközéseket - nos ezek a gyártói állítások nem feltétlenül egyeznek a valósággal.

Van aztán a szómágia, ahol a kígyónyelvű marketingesek a megfogalmazással játszva kamerák helyett a dokumentációban "optikai érzékelőkről" írnak, pedig ez csak játék a szavakkal. Ahogy az az előadáson is bebizonyosodott, ezek a szófacsarás ellenére bizony az otthoni netünkhöz kapcsolódó képrögzítésre alkalmas kamerák.

És ahogy a hamis antivírusok esetében vagy az adathalász weboldalakon is sokszor mindenféle biztonsági plecsniket odahamisítanak: VeriSign, Európai Uniós tanúsítvány, TÜV, stb., itt is jellemző ugyanez, hogy ezek szerepeltetése csak kamu.

Emellett rengeteg sebezhetőség is ismert, ezekről egy méretes adatbázis is készült. Az IT biztonsági cégek általános jótanácsai - olyan készüléket válasszunk, amelyet megbízható gyártó kínál, legyen rendszeres biztonsági frissítés, stb. - elég az átlagfelhasználói szinten.

De ha valaki kész és képes is hackerkedni, akkor nekik ez jószerével nem elegendő. És itt lép a képbe Dennis, aki éppen nekik kínál megoldást, és a szoftverbe belenyúlva rootolja a porszívókat. Itt nem egy gyártó adott modellje van kipécézve, hanem ha valaki haladócsoportos hardcore versenyzőként vissza akarja kapni az ilyen típusú eszköze feletti teljes irányítást, ennek a lehetséges módját mutatja be ez az előadás. (Kicsit mint OpenWRT-t varázsolni a routerünkre).

Ha valakit bővebben is érdekel a téma, a mellékelt linken talál egy elég részletes leírást egy konkrét porszívó típus élveboncolásáról, emellett pedig magát a friss #31 DEFCON videót (sajnos néhol picit hullámzóan hanghibás, de végig feliratos) itt lehet végignézni.