Video: Claim Your Free Nest Thermostat (Nobyembre 2024)
Pag-usapan ang tungkol sa mga implikasyon ng seguridad ng Nest matalinong termostat, at ang karamihan sa mga tao ay marahil ay pag-urong. Ipinapalagay nila, na dahil ang isang termostat ay hindi mai-access ang iyong pera o masunog ang iyong bahay, na ang isang nagsasalakay ay hindi makagambala dito. Sa Black Hat ngayong taon, ipinakita ng mga nagtatanghal na sina Yier Jin, Grant Hernandez, at Daniel Buentello na mayroong isang kakila-kilabot na maaaring gawin ng isang termostat.
Ang Nest ay mayroong ilang security na inihurnong, at ginawa ng mga nagtatanghal na bigyan ng credit ang Nest para sa trabaho ng kumpanya. "Napakahusay na dinisenyo at dapat nating purihin ang kanilang gawain, " sabi ni Jin. Mabilis niyang sinundan ang thrust ng gawain ng kanyang koponan: "batay sa aming pagsusuri, naisip namin ang isang backdoor ng hardware at sa pamamagitan ng backdoor na ito maaari naming makuha ang sobrang kontrol ng buong aparato."
Paghiwa-hiwalayin ang pugad
Sa kanilang demonstrasyon, na-access ng koponan ang Nest sa pamamagitan ng USB at na-root ito sa loob ng 15 segundo. Ang kanilang pag-atake ay nakasalalay sa isang debugging system na sinasadya na naiwan ni Nest sa aparato. Itinuro ng mga nagtatanghal na ito ay talagang isang karaniwang kasanayan para sa mga naka-embed na tagagawa ng aparato.
Kapag ang pindutan ng pisikal na pugad ay gaganapin sa loob ng 10 segundo ang reboot ng aparato. Ngunit para sa isang split segundo, magagamit upang makatanggap ng mga bagong tagubilin sa kung paano mag-boot. Ang koponan ay lumikha ng isang pasadyang tool na, kapag direktang nakakonekta sa pugad, muling ginawang software ang Nest na nagbibigay sa kanila ng kabuuang, remote control.
Habang ang kanilang pag-atake ay nangangailangan ng pisikal na pag-access, ang bilis na dala nito ay kapansin-pansin. Ang isang umaatake ay maaaring, naiisip, sakupin ang kontrol ng isang Anak kapag ang may-ari ay lumabas ng silid nang ilang sandali. Tinukoy din nila na ang mga umaatake ay maaaring bumili lamang ng mga aparato ng Nest, mahawa ang mga ito, at pagkatapos ay ipadala ang mga ito pabalik sa tindahan kung saan sila ibebenta.
At huwag isipin na maaaring makatulong ang mga pag-update mula sa Nest: sinabi ng mga mananaliksik na binuo nila ang isang paraan para itago ang mga nahawaang aparato upang magtago ng mga file mula sa mga update sa firmware. Sa isang magaan na tala, ipinakita din ng mga nagtatanghal na maaari nilang palitan ang nakakainis na hitsura ng Nest na may animated na background.
Ano ang Mahalaga nito
Ang isa sa mga pangunahing pag-andar ng Nest - sa katunayan, ang pagbebenta nito - ay natutunan nito ang iyong mga kagustuhan sa pag-init at paglamig. Sa impormasyong ito, na-optimize nito ang temperatura ng iyong tahanan upang matugunan ang iyong mga pangangailangan at makatipid ka ng pera. Ngunit itinuturo ng mga nagtatanghal na nagbibigay ito ng isang pag-atake ng maraming impormasyon tungkol sa iyong mga gawi. Ang isang nakompromiso na Nest, halimbawa, ay nakakaalam kung wala ka sa bahay, o sa bakasyon. Ang impormasyong ito ay maaaring magamit para sa mga darating na digital na pag-atake, o para lamang sa pagnanakaw.
Alam din ng isang Nest ang iyong mga kredensyal sa network at ang tinatayang lokasyon nito. Ngunit ang pinaka nakababahalang paggamit ng isang nasira na Nest ay bilang isang beachhead para sa iba pang mga pag-atake. Sinabi ni Buentello na kung may kontrol siya sa isang nahawahan na pugad sa bahay ng isang tao, "Ako ay magiging tunneling ng lahat ng iyong trapiko sa pamamagitan ng, sniffing para sa anumang mahahanap ko." Kasama dito ang mga password, numero ng credit card, at anumang iba pang mahalagang impormasyon.
Tulad ng nakakatakot sa kanilang pagtatanghal, kinakailangan pa rin ng isang umaatake na magkaroon ng pisikal na pag-access sa isang Nest termostat. Ngunit tiniyak ng mga mananaliksik sa madla na mahirap silang magtrabaho sa paggalugad ng mga protocol ng software ng aparato, tulad ng Nest Weave, na pinaniniwalaan nila na maaaring payagan para sa malayong pagsasamantala.
Ngunit ang pinakamasama sa lahat, sinabi ng mga nagtatanghal, walang paraan upang sabihin ng isang biktima na nahawahan sila. Pagkatapos ng lahat, hindi ka maaaring mag-load ng antivirus sa iyong termostat.
Pagkapribado
Habang ang pag-hack ng Nest ay isang napaka-nakakatuwang demonstrasyon, ang mga nagtatanghal ay halos nag-aalala tungkol sa privacy. Sinabi nila na ang mga gumagamit ng Nest ay hindi maaaring mag-opt out sa pagkolekta ng data. Posible rin na ang mga aparato ng Nest ay higit pa sa iniisip natin. "Bakit ang impiyerno ay nangangailangan ng 2 gigbytes, " tanong ni Buentello. "Anong ginagawa nito?"
Habang kritikal ang mga mananaliksik sa pagpapasya ni Nest na isama ang USB backdoor, itinuturo nila na maaari itong talagang magamit ng mga indibidwal na may isip sa privacy upang maiwasan ang pagkolekta ng data ng gumagamit. Ang isang ika-apat na miyembro ng kanilang grupo ng pananaliksik ay mahirap sa trabaho sa isang pasadyang pag-update ng firmware na sasamantalahin ang mga kahinaan na natagpuan ng koponan. Ang kanilang pasadyang patch ay panatilihin ang pugad mula sa pagkolekta ng data, ngunit payagan pa ring gumana nang normal ang pugad - kahit na natatanggap ang mga pag-update ng hangin.
Dahil sa katayuan ni Nest bilang anak ng poster para sa mga aparato ng IOT, ang koponan ay nagtanong isang kawili-wiling tanong sa madla: ipagpapatuloy ba nilang gamitin ang Nest sa bahay? Ang mga aksyon na ginagawa namin, at ang mga pagpapasya tungkol sa kung ano ang nahanap namin na pinapayagan para sa mga naka-embed na aparato, sinabi ng mga mananaliksik, ay maaaring itakda ang pamantayan sa susunod na 30 taon.
Piliin nang matalino.
