Urządzenia z Bluetooth na celowniku hakerów - zagrożone są miliardy sprzętów, z których blisko połowa nigdy nie zostanie zabezpieczona. Tak wygląda koszmar świata pełnego smart urządzeń i smart domów.
Ile masz w domu urządzeń z Bluetoothem?
Ja naliczyłem u siebie 18. Komputery, laptopy, tablet, smartfony, czytnik ebooków, trochę sprzętu audio i telewizory. Całkiem sporo, ale są gospodarstwa domowe, w których tego typu sprzętów może być znacznie więcej.
Są przecież domy, w których nawet ekspresem do kawy oraz roletami w oknach możemy sterować z poziomu smartfona. A prawda jest taka, że jesteśmy dopiero na początku drogi i smart urządzenia dopiero zaczynają powoli zalewać nasze mieszkania. Za kilka lat liczba przeróżnych akcesoriów połączonych z siecią internetową i wyposażonych m.in. w Bluetooth wzrośnie kilkukrotnie. W każdym domu.
Dlaczego pytam o liczbę sprzętów z Bluetooth?
Ano dlatego, że właśnie wybuchła bomba, która nazywa się BlueBorne. To podatność na atak niemal wszystkich urządzeń wyposażonych w Bluetooth, która została odkryta przez badaczy z Armis. Według nich podatnych na ataki jest obecnie ponad 8 miliardów urządzeń, z których aż 40 proc. pozostanie niezałatanych z powodu braków stosownych aktualizacji przez producentów.
Na Spider’s Web Maciek przyjrzał się już temu tematowi, ale głównie od strony smartfonów i komputerów. Problem jest jednak zdecydowanie większy.
Przez luki w obsłudze standardu Bluetooth, narażone na atak i dalsze infekowanie kolejnych urządzeń w swoim otoczeniu są nie tylko telefony i komputery, ale również telewizory, smart głośniki z asystentami głosowymi, urządzenia ubieralne, takie jak zegarki i opaski fitnessowe, a nawet zwykły sprzęt audio. Nie mówiąc już o specjalistycznej aparaturze, np. medycznej.
Wyobraźmy sobie sytuację, że w jakimś sklepie lub kawiarni gra muzyka za pomocą sprzętu audio wykorzystującego Bluetooth. Za pomocą podatności wykrytej przez Armis taki głośnik może zostać zainfekowany i będzie zarażał telefony i komputery klientów, którzy odwiedzą lokal.
Podobny scenariusz może mieć miejsce w banku, szpitalu lub na koncercie - to byłyby dopiero żniwa dla hakerów.
Atakujący mogą niepostrzeżenie przejąć kontrolę nad niemal dowolnym urządzeniem i wykonać wiele operacji, które mogą być bolesne w skutkach. Nie mówimy tu przecież wyłącznie o wykradaniu prywatnych fotek ze smartfonów zwykłych ludzi; może dojść również do przejęcia kontroli nad aparaturą medyczną lub innymi specjalistycznymi sprzętami, od których zależy życie wielu osób.
Nasze lenistwo jeszcze odbije się czkawką.
Trendy są niepokojące, bo nasze domy dopiero stają się smart miejscami. W bezprzewodową transmisję danych wyposażone są dzisiaj nie tylko wspomniane rolety w oknach i ekspresy do kawy, ale też lodówki, piekarniki, zmywarki, pralki oraz sprzęt odpowiedzialny za ogrzewanie. Wiele tych udogodnień pojawia się w mieszkaniach wyłącznie z powodu naszego lenistwa, bo nie chce się nam ruszyć tyłka, aby osłonić okna lub zrobić sobie kawę.
Historia pokazała wielokrotnie, że obecnie stosowane zabezpieczenia nie są wystarczające. Mieliśmy już sytuację, kiedy np. głos z audycji telewizyjnej był odpowiedzialny za zmianę temperatury w wielu domach, w których włączone były telewizory.
Aby daleko nie szukać, wystarczy przypomnieć sobie wtorkową konferencję Apple, podczas której jeden z przedstawicieli firmy wypowiedział na głos komendę “Hey Siri”, w odpowiedzi na którą odezwało się wiele telefonów należących do osób z publiczności.
Nie tak dawno słyszałem też historię człowieka, który kupił mocny sprzęt audio, którego producent zapomniał o zabezpieczeniu parowania nowych urządzeń przez Bluetooth. Efekt był taki, że nasz nieszczęśliwiec był notorycznie budzony przez sąsiada, który dla żartu łączył się z tym głośnikiem i w środku nocy urządzał w domu ofiary głośną dyskotekę.
Brzmi jak koszmar?
Sprawa BlueBorne pokazuje, że tak naprawdę nikt nie może czuć się bezpiecznie. Co prawda badacze jeszcze nie zdradzili, w jaki sposób można przejąć kontrolę nad 8,3 mld urządzeń z łącznością Bluetooth, ale zrobią to niebawem.
Na razie dają trochę czasu producentom sprzętu i oprogramowania na załatanie luk w swoich produktach.
Wszystkich luk nie da się jednak załatać, bo czy ktokolwiek słyszał o aktualizacjach oprogramowania do głośników Bluetooth lub sprzętu AGD? Nawet jeśli jakiś promil producentów to robi, to liczba użytkowników, którzy decydują się zmienić oprogramowanie w sprzętach innych niż komputer lub smartfon, jest śmiesznie niska.
40 proc. z 8,3 mld urządzeń to około 3,3 mld sprzętów, które do końca swoich dni będą narażone na ataki, a po przejęciu kontroli przez hakerów będą dalej wykorzystywane do przeprowadzania kolejnych ataków i infekowania następnych telefonów, komputerów, zegarków i innych akcesoriów, które znajdą się w zasięgu ich sygnału Bluetooth.
Mówiąc krótko: mamy przerąbane.
Mówiąc krótko: mamy przerąbane. BlueBorne to spełnienie najgorszej wizji dla smart domów