Ситуация, когда киберпреступник берет под управление устройства «умного» дома, совсем недавно была показана во второй части популярного сериала «Mr. Robot». А ранее неоднократно обсуждалась как профессионалами на специализированных ресурсах, так и в прессе. Британцы Тирни и Манро из компании Pen Test Partners решили проверить, насколько данный сценарий возможен с современными устройствами. В качестве подопытного образца для взлома они взяли «умный» термостат.

Сразу скажем, что попытка оказалась удачной. Специалисты по безопасности не афишируют на какой именно модели производился взлом, но утверждают, что им удалось получит полный доступ к управлению устройством и разместить на его информационном экране требование выплатить несколько сотен долларов для возврата управления. Про модель термостата известно только то, что он имеет большой LСD-дисплей, операционную систему Linux и SD карту, откуда пользователь может загрузить конфигурационные настройки или установить свои «обои» на экран.

termo01

Тирни и Манро обнаружили, что термостат не проверяет какие именно файлы ему подсовывают на SD-карте и безоговорочно запускает все, что ему предложат. Таким образом, под видом безобидной картинки или «нового обновления» может быть запущена вредоносная программа, которая устанавливает устройство на максимальную или минимальную температуру и высвечивает пользователю требование перевести деньги за возврат управления пользователю.

в тему: УМНЫЕ ДОМА БУДУЩЕГО: КАКИМИ ОНИ БУДУТ?

Взломщики отметили, что данную уязвимость достаточно просто устранить производителю, но пользователям будет достаточно сложно избавиться от ее последствий, т.к. зачастую они не имеют представления как отключить взбунтовавшееся автоматическое устройство.