EZCast dziurawe jak sito…

13 stycznia, 2016

Eksperci ds. bezpieczeństwa firmy Check Point Software Technologies odkryli szereg luk w przystawce EZCast, pozwalającej na zmienienie starszego telewizora w urządzenie typu Smart TV. Producent nie decyduje się jednak na aktualizacje, tym samym umożliwiając hakerom uzyskanie dostępu do naszych danych.

EZCast jest wtyczką, podłączaną do portu HDMI, która pozwala na połączenie z Internetem i innymi mediami. Można ją kontrolować za pomocą smartfona lub PC. Możliwe jest również połączenie telewizora i komputera w celu oglądania i przenoszenia filmów, zdjęć oraz plików. Innymi słowy zmienia zwykły telewizor w Smart TV.

Jak się okazuje, kosztujące około 120 zł, urządzenie pełne jest luk w zabezpieczeniach. Badacze firmy Check Point wykryli podatność EZCast na początku bieżącego roku. Jak zapewniają, komunikowali się z producentem EZCast kilkukrotnie aby ich ostrzec, jednakże do dziś żadne aktualizacje czy odpowiedzi nie zostały opublikowane.

Ponieważ urządzenie działa we własnej sieci Wi-Fi, dołączenie do niej jest stosunkowo proste. Sieć jest chroniona tylko przez ośmiocyfrowe hasło, które może być łatwo złamane. Firma Check Point przeprowadziła udany atak brute-force, który pozwolił na pełny, nieautoryzowany dostęp do urządzenia.

Badacze Check Point wykryli, że łatwo jest zyskać dodatkowy dostęp do sieci używając technik socjotechnicznych. Atakujący może wysłać użytkownikowi linka poprzez większość serwisów komunikacyjnych takich jak email, Facebook czy Skype.
 
Dlaczego powinniśmy się martwić?

Internet Rzeczy (Internet of Things) obraca się wokół komunikacji pomiędzy maszynami i rozwija się w postępie geometrycznym. Brzmi jak świetny pomysł, dzięki któremu możemy się błyskawicznie łączyć z Internetem, jednak większość klientów nie do końca rozumie potencjalnych zagrożeń za nim stojących.

Wszystko to, co przechowujesz w swojej domowej sieci jest ogólnie dostępne. Mogą to być dokumenty podatkowe, bankowe, dane kart kredytowych, dane medyczne. Może dojść do kradzieży tożsamości.

Urządzenie EZCast z pewnością nie zostało zaprojektowane z myślą o bezpieczeństwie. Firma Check Point wykryła szereg krytycznych luk, a jak twierdzi, wykonywała jedynie podstawowe testy.
Bezpieczeństwo Internetu Rzeczy powinno zostać podwyższone do poziomu, którego wymagamy od zabezpieczeń komputerów. Jako badacze możemy zwiększyć bezpieczeństwo Internetu Rzeczy poprzez zgłaszanie podatności producentom. Producenci urządzeń powinni być świadomi kwestii bezpieczeństwa danych już na etapie projektowania. 

źródło: Check Point

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]