"Розумні лампи" зберігають паролі від Wi-Fi, хакери навчилися їх "ламати"
Дослідник в області інформаційної безпеки з'ясував, що багато з популярних розумних ламп зберігають паролі від точок доступу Wi-Fi в незахищеному текстовому вигляді.
У серії експериментів вдалося отримати пароль навіть з лампи від Xiaomi, повідомляє профільний сайт Hackaday.
Було виявлено, що лампи, вироблені Xiaomi, LIFX і Tuya, зберігали SSID WiFi і ключ шифрування у вигляді простого тексту, крім того, відновлення зазначеної інформації з ламп було насправді досить простим.
"Так що наступного разу, коли одна з цих дешевих розумних лампочок почне блимати, краще візьміть молоток, перш ніж викинути її у відро для сміття. Ви ніколи не знаєте, кому може знадобитися знання про вашу мережі і чим це може закінчитися", – зазначає автор експерименту під псевдонімом LimitedResults.
Незалежно від виробника лампи, процес установки одного з цих пристроїв в вашу мережу більш-менш однаковий. Додаток на вашому смартфоні підключається до лампочки і надає їй мережевий SSID і ключ шифрування. Потім лампочка від'єднується від телефону і знову підключається до вашої домашньої мережі з новою інформацією. Це процес, з яким ми всі, мабуть, знайомі, і в цьому немає нічого поганого.
Проблема виникає, коли лампочка повинна зберігати надану інформацію про підключення. Замість того, щоб шифрувати дані будь-яким чином, SSID і ключ шифрування зберігаються у вигляді простого тексту на модулі WiFi лампи. Відновлення цієї інформації – це всього лише процес пошуку правильних слідів на друкованій платі колби і вивантаження вмісту чіпа на комп'ютер для аналізу.
Експерт зазначає, що прошивки ламп також містили і унікальні ідентифікатори обладнання, які використовують хмарні платформи, до яких підключаються лампочки, і принаймні в одному випадку були знайдені кореневий сертифікат і закритий ключ RSA.
Читайте нас в Facebook і Тwitter, також підписуйтесь на канал в Telegram, щоб завжди бути в курсі важливих змін в країні і світі.
