Video: Как установить термостат Google Nest американской версии? (September 2024)
Prata om säkerhetsmässiga konsekvenser av Nest smart termostat, och de flesta kommer förmodligen bara att rycka. De antar att eftersom en termostat inte kan komma åt dina pengar eller bränna ner ditt hus, att en angripare inte skulle bry sig om det. På Black Hat i år visade presentatörerna Yier Jin, Grant Hernandez och Daniel Buentello att det finns väldigt mycket en termostat kan göra.
Nest har viss säkerhet bakat in, och presentatörerna gjorde det till en poäng att ge Nest kredit för företagets arbete. "Det är mycket väl utformat och vi bör berömma deras arbete, " sade Jin. Han följde snabbt med drivkraften i sitt team: "baserat på vår analys har vi räknat ut en bakdörr till hårdvaran och genom denna bakdörr kan vi få fjärrkontroll av hela enheten."
Breaking the Nest
I sin demonstration kom teamet åtkomst till boet via USB och rotade det på cirka 15 sekunder. Deras attack var beroende av ett felsökningssystem som Nest avsiktligt lämnade på enheten. Presentatörerna påpekade att detta faktiskt är en vanlig praxis för tillverkare av inbäddade enheter.
När Nests fysiska knapp hålls intryckt i 10 sekunder startas enheten om. Men under en sekund är det tillgängligt att få nya instruktioner om hur du startar. Teamet skapade ett anpassat verktyg som, när de är direkt anslutna till boet, omarbetade Nest-programvaran, vilket gav dem total fjärrkontroll.
Medan deras attack kräver fysisk tillgång, var hastigheten med vilken den genomfördes märklig. En angripare kan tänkas ta kontroll över ett bo när dess ägare steg ut ur rummet ett ögonblick. De påpekade också att angriparna helt enkelt kunde köpa Nest-enheter, smitta dem och sedan skicka dem tillbaka till butiken där de skulle säljas vidare.
Och tror inte att uppdateringar från Nest kan hjälpa: forskarna sa att de utvecklade ett sätt för infekterade enheter att dölja filer från firmwareuppdateringar. På en lättare not visade presentatörerna också att de kunde ersätta boets tråkiga utseende med animerade bakgrunder.
Vad spelar detta för roll
En av Nests viktigaste funktioner - verkligen dess försäljningsplats - är att den lär dig dina värme- och kylpreferenser. Med den här informationen optimerar det ditt hems temperatur för att tillgodose dina behov och sparar pengar. Men presentatörerna påpekar att detta ger en angripare mycket information om dina vanor. Ett kompromitterat bo, till exempel, vet när du är ute i huset eller på semester. Denna information kan användas för framtida digitala attacker eller helt enkelt för inbrott.
Ett Nest känner också till dina nätverksuppgifter och dess ungefärliga plats. Men mest oroande användning av ett skadat bo skulle vara som ett strandhuvud för andra attacker. Buentello sa att om han hade kontroll över ett infekterat bo i någons hem, "skulle jag tunnla all din trafik igenom och sniffa efter allt jag kunde hitta." Detta inkluderar lösenord, kreditkortsnummer och annan värdefull information.
Så läskigt som deras presentation var, krävde det fortfarande en angripare att ha fysisk tillgång till en Nest-termostat. Men forskarna försäkrade publiken att de arbetar hårt med att utforska enhetens programvaruprotokoll, som Nest Weave, som de tror kan möjliggöra fjärrutnyttjande.
Men värst av allt, sade presentatörerna, det finns inget sätt för ett offer att berätta att de har smittats. När allt kommer omkring kan du inte ladda antivirus på din termostat.
Integritet
Medan att hacka boet var en mycket rolig demonstration, var presentatörerna mest bekymrade över integritet. De påpekade att Nest-användare inte kan välja bort datainsamlingen. Det är också möjligt att Nest-enheter har upp till mer än vi tror. "Varför i helvete behöver min termostat 2 gigbyte, " frågade Buentello. "Vad gör det?"
Medan forskarna var kritiska mot Nests beslut att inkludera USB-bakdörren påpekar de att det faktiskt kan användas av privatlivsinriktade individer för att förhindra att Nest samlar in användardata. En fjärde medlem i deras forskargrupp arbetar hårt med en anpassad firmware-uppdatering som kommer att dra fördel av de sårbarheter som teamet hittar. Deras anpassade lapp kommer att förhindra att Nest samlar in data, men kommer fortfarande att tillåta att boet fungerar normalt - även när de får uppdateringar via luften.
På grund av Nests status som affischbarnet för IOT-enheter ställde teamet en intressant fråga till publiken: skulle de fortsätta använda Nest hemma? De åtgärder vi vidtar och besluten om vad vi finner tillåtna för inbäddade enheter, säger forskarna, kan sätta standarden för de kommande 30 åren.
Välj vist.
