Ahogy nő a népszerűsége a hálózatba köthető (okos) eszközöknek, úgy nő az igény a lakossági okos hubok iránt is. Ezek könnyebbé teszik az otthoni készülékek kezelését, és lehetővé teszik, hogy a felhasználó beállítsa és irányítsa azokat egy webes felületen vagy mobil alkalmazáson keresztül. Néhányuk még biztonsági rendszerként is szolgál. Ugyanakkor „egyesítő” szerepéből eredően a kiberbűnözők számára kívánatos célpont, amely feltörésével akár távoli támadásokat is indíthatnak.
Tavaly a Kaspersky Lab vizsgálata során kiderült egy okos otthoni készülékről, hogy hatalmas támadási felületet ad a kiberbűnözőknek a nagyon gyenge jelszógeneráló algoritmusának és nyitott portjainak köszönhetően. Először is a kutatók felfedezték, hogy a hub elküldi a felhasználó adatait, amikor kommunikál a szerverrel, például a bejelentkező adatokat (felhasználó azonosító és a hozzá tartozó jelszó) épp azért, hogy el tudja érni a hub webes felületét. A szerver ugyanakkor olyan személyes információkat is tartalmaz, mint a felhasználó telefonszáma, hogy sürgős esetben értesíteni lehessen. A távoli támadók letölthetik ezeket az adatokat úgy, hogy egy legitim kérést küldenek a szerver felé a készülék sorozatszámával. A sorszámok pedig kideríthetők egy szimpla logikán alapuló módszerrel is, amelyet a szerver erősíthet meg: ha egy készülék regisztrálva van egy felhőalapú rendszerben, akkor a bűnözők megerősítő információkat fognak kapni. Ennek eredményeként be tudnak lépni a felhasználó fiókjába és a hubra csatlakoztatott összes szenzor és vezérlő beállításait kezelhetik.
Vlagyimir Dascsenko, a Kaspersky Lab ICS CERT részlegének sérülékenység kutatócsoportjának vezetője a fentieket a következő példával érzékeltette: „Például nemrég elemeztünk egy okos villanykörtét. Milyen gondot okozhat egy olyan égő, amely csupán a világítás színét és néhány egyéb világítással kapcsolatos beállítást képes megváltoztatni okostelefonon keresztül? Nos, úgy láttuk, hogy a villanykörte memóriája tárol minden olyan információt, amihez már valaha csatlakozott, azaz wi-fi hálózatokhoz tartozó neveket és jelszavakat. Mindezt titkosítás nélkül. Más szóval: az IoT-k egyszerű biztonsági világában még egy egyszerű villanykörte is veszélybe sodorhat bárkit.”
Minden azonosított sérülékenységet jeleztek a gyártónak és most dolgoznak annak kiküszöbölésén. A kiberbiztonsági kockázatok csökkentésének érdekében a gyártók és fejlesztők számára a Kaspersky Lab pedig azt javasolja, hogy mindig végezzenek biztonsági teszteléseket a termékek megjelenése előtt és tartsák szem előtt az IoT-ra vonatkozó kiberbiztonsági előírásokat.
