Исследователи нашили способ атаковать рождественские гирлянды

Специалисты фирмы MWR InfoSecurity, недавно вошедшей в состав крупной компании F-Secure, сообщили о проблеме, способной испортить настроение многим пользователям в рождественские дни. Исследователи обнаружили уязвимости елочных гирлянд! Следуя тенденциям времени, производители праздничных украшений тоже оснащают их доступом в интернет – с не всегда предсказуемыми последствиями.

В данном случае речь идет о гирлянде Twinkly smart decoration. Она состоит из множества нитей светодиодных ламп. Каждая лампочка может настраиваться индивидуально, что позволяет пользователям создавать собственные световые узоры. Благодаря подключению к сети делать это можно дистанционно, с помощью специального приложения на смартфоне. Однако производители не слишком позаботились о защите своего устройства. Гирлянда Twinkly оказалась уязвима к атакам по типу man-in-the-middle. Кроме того, без должной проверки – аутентификации и цифровых подписей – проходит процесс обновления прошивки. Это позволяет злоумышленникам легко установить контроль над гирляндой и развлекаться созданием собственных узоров.

В видеороликах, опубликованных в качестве подтверждения проблемы, исследователи MWR InfoSecurity сначала продемонстрировали, как можно использовать Twinkly для игры в «змейку» (популярную игру на мобильных телефонах Nokia в конце 1990-х годов), а затем заставили гирлянду мигать призывом «взломать планету» (Hack the Planet!). Понятно, что настоящим хакерам не составит труда использовать Twinkly для демонстрации любых изображений и текстов. Эксперты MWR InfoSecurity отмечают, что смогли обнаружить уже порядка 20 тысяч подключенных к интернету уязвимых гирлянд.

Источник: Bleeping Computer