IoT в действие: Роботи в хотел позволяват следене на гостите
Настолните ботове в стаите на японски хотел се оказали лесни за хакване; казусът бележи новата епоха на „ интернет на нещата “
Роботите с камери се оказват лесни за хакване от киберпрестъпници (снимка: CCO Public Domain)
Японската хотелска верига HIS Group бе принудена да се извини на клиентите си, че е пренебрегнала предизвестия от страна на експерти по сигурността за евентуален пробив в роботите, ситуирани из стаите за посетители. Те били лесни за хакване, позволявайки на евентуално злонамерени консуматори да наблюдават отдалечено какво вършат жителите на стаите.
Хотелът „ Henn na “ се обслужва съвсем напълно от роботи: гостите биват посрещани и регистрирани от роботи-хуманоиди или динозаври, преди да се настанят в стаите си. За достъп до хотелските пространства се употребява технология за лицево различаване. След настаняването, всеки посетител има собствен персонален „ прислужник “ в стаята си – дребен настолен бот на масичката до леглото.
Лесно хакване
Преди няколко седмици откривател по сигурността разкри в Twitter, че е предизвестил хотелската верига HIS Group за това, че ботовете в стаите могат елементарно да бъдат хакнати и да се употребяват за отдалечено наблюдение на гостите. По-неприятното е, че пробивът може да се употребява за доста повече от воайорство, а най-неприятна е реакцията на хотела и доставчика на роботите.
Ланс Р. Вик, самостоятелен откривател по сигурността, разкрил пробива по време на своя престой в хотела. Неговият опит открил, че устройствата имат „ нещо като заден прозорец “, който би обезпечил далечен достъп до видео и аудио стрийминга, с цел да шпионира гостите, които остават в стаята.
Проблемът съществува с помощта на „ неподписан код “, който обезпечава достъп до NFC тага вътре в робота. NFC тагът е дребен микрочип с вградено наличие, което може да се чете от мобилни устройства наоколо. Чиповете могат да бъдат настроени да започват даден URL адрес или да реализират връзка с приложения.
Роботи динозаври обслужват гостите на хотелската верига Henn na (снимка: Henn na)
По този метод, съгласно Вик, хакването на робота в стаята е банално и изисква нищожно по размер препрограмиране на NFC чиповете – нещо, което е допустимо поради неподписания код. Според описанието в Twitter, нападателят би трябвало да „ допре NFC тага на гърба на робота, да изиска стремежи URL адрес, да отиде в „ Настройки “ и да позволи „ недоверени приложения “; след това да употребява браузъра, с цел да конфигурира аудио/видео стрийминг приложение по собствен избор; да го настрои за автоматизирано стартиране; да рестартира робота и… да гледа отдалечено какво се случва в стаята всеки път, когато изиска.
Отвъд воайорството
Не е ясно дали някой различен с изключение на Ланс Вик е компрометирал устройствата, само че Джоузеф Карсън – основен откривател по сигурността в Thycotic, разяснява пред Threatpost, че капацитетът за злонамерена активност се простира много оттатък воайорството.
„ Всичко, което е обвързвано с интернет, без значение дали става въпрос за преносим компютър, телефон, уеб камера или даже робот, е изложено на риск от хакване и корист “, сподели той. „ Устройствата, които съдържат камери, употребявани за елементарни функционалности като датчици за придвижване, могат несъмнено да бъдат използвани и злонамерено – за запис на видео, разбор на тези данни и осъществяване на различаване на глас или лице”.
Факт е, че тези данни могат да бъдат употребявани за корист с персоналния живот на жителите на хотелите. Но когато към това прибавим и технология като машинното самообразование или изкуствен интелект, последствията могат да бъдат пагубни.
Според Карсън, може да се стигне до фалшификации на снимкови и видео-материали и кражба на цифровата еднаквост. „ Трябва да подходим към бъдещето с нараснало внимание и отговорност при въвеждането на технологиите “, споделя той.
Всъщност Ланс Вик открил пробива още през юли. Той писал до хотелската администрация и до производителя на ботовете, само че по този начин и не получил отговор. След като почакал задоволително дълго време – 90 дни – Вик решил да разгласи казуса. Той разгласява данните за ботовете на 13 октомври.
HIS Group е разгласила известие в Twitter, което гласи: „ извиняваме за вероятните неволи, които може да сме предизвикали “, предава Tokyo Reporter. Пак съгласно анонс на хотелската верига, за устройствата „ е направена трансформация за попречване на хакване от гостите “. Производителят на роботите Tapia пък е определил, че „ рискът от неоторизиран достъп е невисок “, макар оценката на откривателя.
Ужасната популярност на IoT
„ Ако отседа в хотел, който имаше робот с лицево различаване и видеокамери, бих метнал от горната страна му хавлия “, споделя Крис Моралес, началник по разбори в региона на сигурността в компанията Vectra. „ Производителите на IoT устройства имат ужасна популярност, когато става дума за обезпечаване на достъп до техните устройства. Инсталирането на такова устройство в името на удобството – което може да запише всичко, което върша в стаята – е просто извънредно “.
още по тематиката
Моралес и други експерти по сигурността все по-настойчиво акцентират, че обстановки като случилата се ще стават все по-чести с разпространяването на IoT.
„ Ние се оказваме в обстановка, която е нова за човечеството – такава, в която сме следени по-агресивно, в сравнение с нашите предшественици са могли да си показват, и то не от централните управляващи, а от нарушители “, споделя Томас Хеч, основен механически шеф и съосновател в SaltStack. „ С убеденост можем да кажем, че известните нам хакове на такива устройства са единствено върхът на айсберга. Тъй като животът ни е толкоз мощно подвластен от обвързваните устройства на фона на такава сериозна липса на контрол върху сигурността, събития като описаното сигурно ще стават все по-чести “.
По думите му, даже огромните компании с задоволително налични запаси имат компликации да обезпечат задоволително равнище на сигурност в своите системи, а дребните компании, които нямат задоволително запас, въобще не могат да създадат своите устройства сигурни.
Роботите с камери се оказват лесни за хакване от киберпрестъпници (снимка: CCO Public Domain)
Японската хотелска верига HIS Group бе принудена да се извини на клиентите си, че е пренебрегнала предизвестия от страна на експерти по сигурността за евентуален пробив в роботите, ситуирани из стаите за посетители. Те били лесни за хакване, позволявайки на евентуално злонамерени консуматори да наблюдават отдалечено какво вършат жителите на стаите.
Хотелът „ Henn na “ се обслужва съвсем напълно от роботи: гостите биват посрещани и регистрирани от роботи-хуманоиди или динозаври, преди да се настанят в стаите си. За достъп до хотелските пространства се употребява технология за лицево различаване. След настаняването, всеки посетител има собствен персонален „ прислужник “ в стаята си – дребен настолен бот на масичката до леглото.
Лесно хакване
Преди няколко седмици откривател по сигурността разкри в Twitter, че е предизвестил хотелската верига HIS Group за това, че ботовете в стаите могат елементарно да бъдат хакнати и да се употребяват за отдалечено наблюдение на гостите. По-неприятното е, че пробивът може да се употребява за доста повече от воайорство, а най-неприятна е реакцията на хотела и доставчика на роботите.
Ланс Р. Вик, самостоятелен откривател по сигурността, разкрил пробива по време на своя престой в хотела. Неговият опит открил, че устройствата имат „ нещо като заден прозорец “, който би обезпечил далечен достъп до видео и аудио стрийминга, с цел да шпионира гостите, които остават в стаята.
Проблемът съществува с помощта на „ неподписан код “, който обезпечава достъп до NFC тага вътре в робота. NFC тагът е дребен микрочип с вградено наличие, което може да се чете от мобилни устройства наоколо. Чиповете могат да бъдат настроени да започват даден URL адрес или да реализират връзка с приложения.
Роботи динозаври обслужват гостите на хотелската верига Henn na (снимка: Henn na)
По този метод, съгласно Вик, хакването на робота в стаята е банално и изисква нищожно по размер препрограмиране на NFC чиповете – нещо, което е допустимо поради неподписания код. Според описанието в Twitter, нападателят би трябвало да „ допре NFC тага на гърба на робота, да изиска стремежи URL адрес, да отиде в „ Настройки “ и да позволи „ недоверени приложения “; след това да употребява браузъра, с цел да конфигурира аудио/видео стрийминг приложение по собствен избор; да го настрои за автоматизирано стартиране; да рестартира робота и… да гледа отдалечено какво се случва в стаята всеки път, когато изиска.
Отвъд воайорството
Не е ясно дали някой различен с изключение на Ланс Вик е компрометирал устройствата, само че Джоузеф Карсън – основен откривател по сигурността в Thycotic, разяснява пред Threatpost, че капацитетът за злонамерена активност се простира много оттатък воайорството.
„ Всичко, което е обвързвано с интернет, без значение дали става въпрос за преносим компютър, телефон, уеб камера или даже робот, е изложено на риск от хакване и корист “, сподели той. „ Устройствата, които съдържат камери, употребявани за елементарни функционалности като датчици за придвижване, могат несъмнено да бъдат използвани и злонамерено – за запис на видео, разбор на тези данни и осъществяване на различаване на глас или лице”.
Факт е, че тези данни могат да бъдат употребявани за корист с персоналния живот на жителите на хотелите. Но когато към това прибавим и технология като машинното самообразование или изкуствен интелект, последствията могат да бъдат пагубни.
Според Карсън, може да се стигне до фалшификации на снимкови и видео-материали и кражба на цифровата еднаквост. „ Трябва да подходим към бъдещето с нараснало внимание и отговорност при въвеждането на технологиите “, споделя той.
Всъщност Ланс Вик открил пробива още през юли. Той писал до хотелската администрация и до производителя на ботовете, само че по този начин и не получил отговор. След като почакал задоволително дълго време – 90 дни – Вик решил да разгласи казуса. Той разгласява данните за ботовете на 13 октомври.
HIS Group е разгласила известие в Twitter, което гласи: „ извиняваме за вероятните неволи, които може да сме предизвикали “, предава Tokyo Reporter. Пак съгласно анонс на хотелската верига, за устройствата „ е направена трансформация за попречване на хакване от гостите “. Производителят на роботите Tapia пък е определил, че „ рискът от неоторизиран достъп е невисок “, макар оценката на откривателя.
Ужасната популярност на IoT
„ Ако отседа в хотел, който имаше робот с лицево различаване и видеокамери, бих метнал от горната страна му хавлия “, споделя Крис Моралес, началник по разбори в региона на сигурността в компанията Vectra. „ Производителите на IoT устройства имат ужасна популярност, когато става дума за обезпечаване на достъп до техните устройства. Инсталирането на такова устройство в името на удобството – което може да запише всичко, което върша в стаята – е просто извънредно “.
още по тематиката
Моралес и други експерти по сигурността все по-настойчиво акцентират, че обстановки като случилата се ще стават все по-чести с разпространяването на IoT.
„ Ние се оказваме в обстановка, която е нова за човечеството – такава, в която сме следени по-агресивно, в сравнение с нашите предшественици са могли да си показват, и то не от централните управляващи, а от нарушители “, споделя Томас Хеч, основен механически шеф и съосновател в SaltStack. „ С убеденост можем да кажем, че известните нам хакове на такива устройства са единствено върхът на айсберга. Тъй като животът ни е толкоз мощно подвластен от обвързваните устройства на фона на такава сериозна липса на контрол върху сигурността, събития като описаното сигурно ще стават все по-чести “.
По думите му, даже огромните компании с задоволително налични запаси имат компликации да обезпечат задоволително равнище на сигурност в своите системи, а дребните компании, които нямат задоволително запас, въобще не могат да създадат своите устройства сигурни.
Източник: technews.bg
КОМЕНТАРИ