Már hozzászokhattunk, hogy a modern okos eszközök és mesterséges intelligenciák sok esetben sokkal nagyobb veszélyt jelentenek, mint amennyi gyakorlati hasznot hordoznak. Jelen esetben például egy okos garázsajtó hibájának hála bárki kinyithatja a felhasználók ajtaját. A gyártó Nexx cégnek már több hónapja próbálják jelezni a sebezhetőséget, de ők igyekeznek még tudomást sem venni a bejelentésekről.
Kérjük, támogassa adója 1%-ával a HVIM-et!
A szervezet valós, kézzelfogható eredményeiről itt olvashat.
Felajánlását az Azonosságtudat Alapítványnak küldje el!
Adószám: 18218082-1-07
A cég vezérlőegysége lehetővé teszi a felhasználók számára, hogy mobilappon keresztül nyissák és csukják a garázskapuikat. Viszont a klasszikus távirányítós rendszerektől eltérően a vezérlőegységük és a telefonjuk nem közvetlenül kommunikálnak a parancsadáskor, hanem mindkettő az internetre csatlakozik, majd egy internetes szerver közvetít köztük.
Sam Sabetan öt különálló sebezhetőséget talált a Nexx termékében, az összes közül a messze legfontosabb probléma, hogy minden egyes garázskapu vezérlőegysége ugyanazzal az előre beállított mesterjelszóval csatlakozik fel a rendszer internetes vezérlőhálózatába. A jelszóval bárki beléphet a hálózatba, láthatja az összes hozzá csatlakozó eszközt és a tulajdonosaik e-mail-címeit, majd parancsokat hamisítva véletlenszerűen vagy célzottan nyitogathatja mások kapuit.
Architektúrális szintű hibáról van szó, a hackerek mások nevében tudnak utasításokat kiadni a hálózatra csatlakozó kütyüknek.
Sabetan január elején próbálta jelenteni a felfedezett hibákat a gyártó számára, ám az két alkalommal is válasz nélkül lezárta az ügyfélszolgálaton nyitott hibajegyeit, továbbá e-mailben sem volt hajlandó reagálni a gondokkal kapcsolatos megkeresésekre. Emiatt a kutató az USA Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségéhez (CISA) fordult, amely kiértékelte a sebezhetőségeket és CVE hibajegyeket rendelt hozzájuk, plusz megpróbálta felvenni a kapcsolatot a céggel, ám az még a Belbiztonsági Minisztériumhoz tartozó kormányszervet sem volt hajlandó szóra méltatni.
Az iparági szabvány 90 napos türelmi idő lejárta miatt a napokban nyilvánossá váltak a Sabetan által felfedezett hibák részletes dokumentációi, így ha a gyártó továbbra is játssza a süketet és némát, akkor csak az érdeklődő hackereken múlik, hogy mikor kezdenek érthetetlenül kinyitogatni a garázskapuk.
A sebezhetőségek a Nexx okos konnektorait és riasztóit is érintik, azoknak is küldhetőek parancsok a hálózaton keresztül.
Szokásainkkal és kinézetünkkel fogunk fizetni, ha a technokratákon múlik
Mesterséges intelligencia vette rá az öngyilkosságra az instabil férfit?
(Origo – Szent Korona Rádió)