Video: Introducing the new Nest Thermostat from Google (Oktober 2024)
Tal om sikkerhedsmæssige implikationer af Nest smart-termostaten, og de fleste vil sandsynligvis bare trække på skuldrene. De antager, at fordi en termostat ikke kan få adgang til dine penge eller nedbrænde dit hus, at en angriberen ikke ville gider med det. På Black Hat i år viste præsentanterne Yier Jin, Grant Hernandez og Daniel Buentello, at der er meget, hvad en termostat kan gøre.
Nest har nogle sikkerhed baget, og præsentanterne gjorde det til et punkt at give Nest æren for virksomhedens arbejde. "Det er meget godt designet, og vi bør prise deres arbejde, " sagde Jin. Han fulgte hurtigt med presset på sit teams arbejde: "baseret på vores analyse har vi fundet ud af en hardware-bagdør, og gennem denne bagdør kan vi få fjernbetjening af hele enheden."
Breaking the Nest
I deres demonstration fik teamet adgang til redet via USB og rodede det på cirka 15 sekunder. Deres angreb var afhængig af et debugging-system, som Nest med vilje efterlod på enheden. Foredragsholderne påpegede, at dette faktisk er en almindelig praksis for indbyggede enhedsproducenter.
Når redets fysiske knap holdes nede i 10 sekunder genstarter enheden igen. Men i et par sekunder er det tilgængeligt at modtage nye instruktioner om, hvordan man starter. Holdet oprettede et brugerdefineret værktøj, der, når det var direkte forbundet med Nest, omarbejdede Nest's software, hvilket gav dem total fjernbetjening.
Mens deres angreb kræver fysisk adgang, var hastigheden, hvorpå det blev udført, bemærkelsesværdig. En angriber kunne tænkes at gribe kontrollen over et rede, når dens ejer trådte ud af rummet et øjeblik. De påpegede også, at angribere simpelthen kunne købe Nest-enheder, inficere dem og derefter sende dem tilbage til butikken, hvor de ville blive videresolgt.
Og tro ikke, opdateringer fra Nest kunne hjælpe: Forskerne sagde, at de udviklede en måde for inficerede enheder at skjule filer fra firmwareopdateringer. På en lettere note demonstrerede præsentanterne også, at de kunne erstatte Nests kedelige udseende med animerede baggrunde.
Hvad nytter det
En af Nests nøglefunktioner - faktisk dens salgsargument - er, at det lærer dine opvarmnings- og kølepræferencer. Med disse oplysninger optimerer det dit hjem temperatur for at imødekomme dine behov og sparer dig penge. Men præsentanterne påpeger, at dette giver en angriber en masse information om dine vaner. Et kompromitteret rede ved for eksempel, hvornår du er ude af huset eller på ferie. Denne information kan bruges til fremtidige digitale angreb eller blot til indbrud.
Et nest kender også dine netværksoplysninger og dens omtrentlige placering. Men mest ulykkelig brug af et ødelagt nest ville være som et strandhovede til andre angreb. Buentello sagde, at hvis han havde kontrol med et inficeret rede i nogens hjem, "ville jeg tunnele al din trafik igennem og snuse efter alt, hvad jeg kunne finde." Dette inkluderer adgangskoder, kreditkortnumre og enhver anden værdifuld information.
Så skræmmende som deres præsentation var, krævede det stadig, at en angriber havde fysisk adgang til en Nest-termostat. Men forskerne forsikrede publikum om, at de er hårde i arbejde med at udforske enhedens softwareprotokoller som Nest Weave, som de mener kan muliggøre fjernudnyttelse.
Men værst af alt, sagde foredragsholderne, er der ingen måde for et offer at fortælle, at de er blevet inficeret. Når alt kommer til alt kan du ikke indlæse antivirus på din termostat.
Privatliv
Mens hacking af reden var en meget sjov demonstration, var præsentanterne mest bekymrede for privatlivets fred. De påpegede, at Nest-brugere ikke kan fravælge dataindsamling. Det er også muligt, at Nest-enheder er op til mere, end vi tror. "Hvorfor i helvede har min termostat brug for 2 gigbyte, " spurgte Buentello. "Hvad laver det?"
Mens forskerne var kritiske over Nests beslutning om at inkludere USB-bagdøren, påpeger de, at den faktisk kan bruges af privatpersoner til at forhindre, at Nest indsamler brugerdata. Et fjerde medlem af deres forskningsgruppe arbejder hårdt på en brugerdefineret firmwareopdatering, der drager fordel af de sårbarheder, teamet finder. Deres brugerdefinerede programrettelse vil forhindre, at Nest indsamler data, men vil stadig gøre det muligt for reden at fungere normalt - også når de modtager over luftopdateringer.
På grund af Nests status som plakatbarn for IOT-enheder stillede teamet et interessant spørgsmål til publikum: ville de fortsætte med at bruge Nest derhjemme? De handlinger, vi træffer, og beslutningerne om, hvad vi finder tilladelige for indlejrede enheder, sagde forskerne, kunne sætte standarden for de næste 30 år.
Vælg klogt.
