Video: Cara Hacker Mencuri Data Kita Atau Informasi Kita Dengan Menggunakan link (Oktober 2024)
Bicara tentang implikasi keamanan termostat cerdas Nest, dan kebanyakan orang mungkin hanya akan mengangkat bahu. Mereka beranggapan, bahwa karena termostat tidak dapat mengakses uang Anda atau membakar rumah Anda, maka seorang penyerang tidak akan peduli dengan hal itu. Di Black Hat tahun ini, pembawa acara Yier Jin, Grant Hernandez, dan Daniel Buentello menunjukkan bahwa ada banyak sekali hal yang dapat dilakukan oleh termostat.
Nest memiliki beberapa keamanan yang dipanggang, dan para presenter membuat poin untuk memberikan kredit Nest untuk pekerjaan perusahaan. "Ini dirancang dengan sangat baik dan kita harus memuji pekerjaan mereka, " kata Jin. Dia dengan cepat mengikuti dengan dorongan pekerjaan timnya: "berdasarkan analisis kami, kami telah menemukan backdoor perangkat keras dan melalui backdoor ini kita bisa mendapatkan kendali jarak jauh dari seluruh perangkat."
Breaking the Nest
Dalam demonstrasi mereka, tim mengakses Nest melalui USB dan melakukan root pada sekitar 15 detik. Serangan mereka bergantung pada sistem debugging yang sengaja ditinggalkan Nest di perangkat. Para presenter menunjukkan bahwa ini sebenarnya praktik umum bagi produsen perangkat embedded.
Ketika tombol fisik Nest ditahan selama 10 detik, perangkat akan dinyalakan ulang. Tetapi untuk sepersekian detik, tersedia untuk menerima instruksi baru tentang cara mem-boot. Tim menciptakan alat khusus yang, ketika terhubung langsung ke Nest, mengerjakan ulang perangkat lunak Nest yang memberi mereka kendali jarak jauh total.
Sementara serangan mereka memang membutuhkan akses fisik, kecepatan yang dilakukan itu luar biasa. Seorang penyerang bisa, dibayangkan, menguasai Nest ketika pemiliknya keluar dari kamar sejenak. Mereka juga menunjukkan bahwa penyerang hanya dapat membeli perangkat Nest, menginfeksi mereka, dan kemudian mengirim mereka kembali ke toko tempat mereka akan dijual kembali.
Dan jangan berpikir pembaruan dari Nest dapat membantu: para peneliti mengatakan mereka mengembangkan cara bagi perangkat yang terinfeksi untuk menyembunyikan file dari pembaruan firmware. Pada nada yang lebih ringan, para presenter juga menunjukkan bahwa mereka dapat menggantikan penampilan membosankan Nest dengan latar belakang animasi.
Apa Artinya
Salah satu fungsi utama Nest - memang, titik penjualannya - adalah mengetahui preferensi pemanasan dan pendinginan Anda. Dengan informasi ini, ini mengoptimalkan suhu rumah Anda untuk memenuhi kebutuhan Anda dan menghemat uang. Tetapi presenter menunjukkan bahwa ini memberikan penyerang banyak informasi tentang kebiasaan Anda. Sarang yang dikompromikan, misalnya, tahu kapan Anda berada di luar rumah, atau sedang berlibur. Informasi ini dapat digunakan untuk serangan digital di masa depan, atau hanya untuk pencurian.
Nest juga mengetahui kredensial jaringan Anda dan perkiraan lokasinya. Tetapi penggunaan Nest yang rusak yang paling menyedihkan adalah sebagai tempat berpijak bagi serangan lainnya. Buentello berkata bahwa jika dia mengendalikan Nest yang terinfeksi di rumah seseorang, "Aku akan menggali semua lalu lintasmu, mengendus apa pun yang bisa kutemukan." Ini termasuk kata sandi, nomor kartu kredit, dan informasi berharga lainnya.
Meski menakutkan seperti presentasi mereka, masih diperlukan penyerang untuk memiliki akses fisik ke termostat Nest. Tetapi para peneliti meyakinkan audiens bahwa mereka bekerja keras mengeksplorasi protokol perangkat lunak perangkat, seperti Nest Weave, yang mereka yakini memungkinkan untuk eksploitasi jarak jauh.
Tetapi yang terburuk dari semuanya, kata presenter, tidak ada cara bagi korban untuk mengatakan bahwa mereka telah terinfeksi. Lagi pula, Anda tidak dapat memuat antivirus ke termostat Anda.
Pribadi
Sementara meretas Nest adalah demonstrasi yang sangat menyenangkan, para penyaji kebanyakan khawatir tentang privasi. Mereka menunjukkan bahwa pengguna Nest tidak dapat memilih keluar dari pengumpulan data. Mungkin juga perangkat Nest lebih dari yang kita kira. "Kenapa termostatku membutuhkan 2 gigbytes, " tanya Buentello. "Apa yang dilakukannya?"
Sementara para peneliti mengkritik keputusan Nest untuk memasukkan backdoor USB, mereka menunjukkan bahwa itu sebenarnya dapat digunakan oleh individu yang berpikiran privasi untuk mencegah Nest mengumpulkan data pengguna. Anggota keempat dari kelompok riset mereka bekerja keras pada pembaruan firmware khusus yang akan memanfaatkan kerentanan yang ditemukan oleh tim. Tambalan khusus mereka akan menjaga Nest dari pengumpulan data, tetapi masih akan memungkinkan Nest berfungsi secara normal - bahkan ketika menerima pembaruan melalui udara.
Karena status Nest sebagai anak poster untuk perangkat IOT, tim mengajukan pertanyaan menarik kepada audiens: apakah mereka akan terus menggunakan Nest di rumah? Tindakan yang kami ambil, dan keputusan tentang apa yang kami temukan diizinkan untuk perangkat yang disematkan, kata para peneliti, dapat menetapkan standar untuk 30 tahun ke depan.
Pilihlah dengan bijak.
