Pressmeddelande -
Svenske säkerhetsexperten: ”Hemmaunderhållningsprylar kan utgöra en risk”
David Jacoby, säkerhetsforskare på Kaspersky Lab, genomförde nyligen ett säkerhetstest av sitt hemmaunderhållningssystem – bestående av bland annat NAS-enheter (uppkopplade lagringsenheter), smart-TV, router och Blu-ray-spelare. Testet visade att flera av enheterna var sårbara för cyberattacker på grund av brister i mjukvaran. 14 av sårbarheterna fanns i NAS-enheten, en av dem i smart-TV:n och flera dolda fjärrkontrollsfunktioner fanns hos routern.
– Det finns tydliga säkerhetsrisker med uppkopplade prylar som vi alla måste vara medvetna om. Dessutom bör vi komma ihåg att ett starkt lösenord inte alltid är skydd nog, säger David Jacoby. Det tog mig mindre än 20 minuter att hitta och verifiera väldigt allvarliga sårbarheter i en enhet som vid första anblick verkar vara säker och till och med anspelar på säkerhet i varumärkesnamnet.
Kaspersky Lab vill inte avslöja namnen på berörda leverantörer innan dessa har hunnit släppa en säkerhetspatch som åtgärdar sårbarheterna. Samtliga leverantörer har informerats om de upptäckta sårbarheterna.
NAS-enheter
De allvarligaste sårbarheterna fanns i NAS-enheterna. Flera av dem skulle göra
det möjligt för en angripare att på distans styra systemet med högsta
administratörsrättigheter. De förinställda lösenorden hos prylarna var dessutom
svaga. Administratörlösenordet hos en av enheterna bestod av endast en siffra.
En annan enhet delade hela konfigurationsfilen med krypterade lösenord till
alla i nätverket.
Genom att använda en separat sårbarhet lyckades David Jacoby ladda upp en fil på ett ställe i en enhets lagringsminne som är oåtkomligt för vanliga användare. Om filen vore skadlig skulle enheten kunna smitta alla enheter som ansluts till samma nätverk – exempelvis en dator.
Smart-TV
När David Jacoby granskade säkerheten hos sin smart-TV upptäckte han att
kommunikationen mellan TV:n och de tjänsteleverantörer som är integrerade i
TV:n är okrypterad. Det innebär en möjlig risk för så kallade
”man-in-the-middle”-attacker som kan resultera i att användaren för över pengar
till angriparen när den egentligen försöker köpa innehåll via TV:n. David
Jacoby lyckades själv ersätta en av ikonerna på TV:n med en egen bild. Normalt
sett laddas ikonerna ned från tjänsteleverantörens servrar men då anslutningen
inte är krypterad kan informationen ändras av utomstående.
Router
DSL-routern som förser enheterna i
hemmanätverket med trådlös tillgång till internet innehöll flera skadliga och
dolda funktioner. Några av dessa skulle kunna ge internetleverantören tillgång
till alla enheterna i ett privat nätverk. Flera sektioner i routerns
webbgränssnitt – som ”Web Cameras”, ”Telephony Expert Configure”, ”Access
Control” och ”Update” – är ”osynliga” och kan inte justeras av ägaren till
enheten. Orsaken till att dessa funktioner finns på routern är att
internetleverantören enkelt ska kunna lösa eventuella tekniska problem. Men
skulle utomstående få kontroll över dessa innebär det istället en risk.
– En stor del av säkerhetsproblemet är livslängden hos dessa prylar, säger David Jacoby. Många leverantörer släpper inte säkerhetsuppdateringar för en sårbarhet hos en produkt efter att den har utgått. Men medan produktlivscykeln för många av prylarna oftast är bara ett eller två år är den verkliga livslängden – till exempel för NAS-enheter – mycket längre.
Så säkrar du dina uppkopplade prylar i hemmet:
- Uppdatera löpande dina prylar med de senaste säkerhetsuppdateringarna. Det minskar risken för att angripare lyckas utnyttja kända sårbarheter.
- Ändra alltid det förinställda användarnamnet och lösenordet – det är det första en angripare försöker med när den vill hacka enheten.
- Dela upp nätverket så att dina enheter bara har tillgång till valda delar. På de flesta routrar och switchar för hemmabruk går det att sätta upp ett eget nätverk för varje enskild enhet och att begränsa access till enheten med hjälp av flera olika så kallade DMZ (fria zoner mellan det externa nätet och det interna nätet) och VLAN (separerade logiska nätverk inom samma fysiska nätverk). Exempelvis är det inte nödvändigt att TV:n är sammankopplad med skrivaren.
· Mediekontakt: Bite, 08-402 01 00, kaspersky@biteglobal.com
Ämnen
- Data, Telekom, IT
Kategorier
- sårbarheter
- cyberhot
- hacking
- kaspersky lab
- kaspersky
- david jacoby
Om Kaspersky Lab
Kaspersky Lab är världens största privatägda
leverantör av klientsäkerhetslösningar. Företaget rankas bland världens fyra
främsta leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab
har under 16 år varit en innovatör inom IT-säkerhet och förser konsumenter,
samt små och stora företag, med effektiva digitala säkerhetslösningar.
Företaget, med sitt holdingbolag registrerat i Storbritannien, är för nuvarande
verksamt i nästan 200 länder och ger skydd åt över 300 miljoner användare över
hela världen. Läs mer på www.kaspersky.se.
· * Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2012. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2012.