„Comcast Voice“ nuotolinio valdymo pulto pažeidžiamumas gali leisti klausytis
Saugumo tyrėjai atrado pažeidžiamumą, kuris dar neseniai paveikė „Comcast“ valdomus nuotolinio valdymo pultus. Problema leido blogiems aktoriams valdyti įrenginius ir naudoti juos klausantis visko, kas vyksta šalia nuotolinio valdymo rankinio įrenginio.
Pažeidžiamumui jau buvo išleistas pataisas. Tačiau, nors jis vis dar buvo neišsiųstas, manoma, kad jis paveikė daugiau nei 18 milijonų įrenginių vien JAV. Tyrimą atlikę mokslininkai nustatė, kad anksčiau egzistavęs pažeidžiamumas leido jiems atitraukti žmogų atakos viduryje ir naudoti „Comcast XR11“ balso nuotolinio valdymo pultą kaip švyturį, leidžiantį klausytis iki 20 metrų atstumo.
Ataką „WarezTheRemote“ pavadino „Guardicore“ tyrėjų komanda, kuri atrado pažeidžiamumą. Atakos vektorių sudarė blogas veikėjas, atsakęs į RF siunčiamus prašymus iš nuotolinio valdymo pulto.
Jei įsilaužėliui pavyktų atspėti iš nuotolinio valdymo pulto gautos užklausos turinį, jie galėtų į ją atsakyti kenkėjišku atgaliniu skambučiu. Mokslininkai paaiškino, kad tai gali paskatinti įrenginį apgauti priimti viską, kas gaunama iš įsilaužėlio, kaip teisėtą informaciją, įskaitant programinės įrangos atnaujinimus.
Sėkminga ataka suteikia įsilaužėliui visišką prieigą prie pažeisto įrenginio, įskaitant jo programinės įrangos mirksėjimą. Turėdamas tokias aukštas privilegijas, blogas aktorius turėjo tik peršokti keletą paskutinių kliūčių, kad įsiklausytų į viską, kas vyksta šalia nuotolinio valdymo pulto.
Nors ši problema kurį laiką buvo išspręsta atnaujinus, ji vis tiek parodo, kaip visiškai sujungta visuomenė, kurioje kiekviena programėlė yra daiktų interneto įtaisas, vis dar kelia daug pavojų ir pažeidžiamumų neišvengiamai šliaužia net įrenginiuose, laikantis geriausios saugumo praktikos ir standartus.
Daiktų interneto įrenginiai dažnai naudojami ir įvairiems kitiems kenkėjiškiems tikslams - nuo perėmimo ir panaudojimo kaip robotai DDoS atakose iki užsikrėtimo kriptografine kenkėjiška programa ir naudojami kaip darbo dronai įsilaužėlio kriptografinei piniginei.