Svenske säkerhetsexperten: ”Hemmaunderhållningsprylar kan utgöra en risk”

David Jacoby, säkerhetsforskare på Kaspersky Lab, genomförde nyligen ett säkerhetstest av sitt hemmaunderhållningssystem – bestående av bland annat NAS-enheter (uppkopplade lagringsenheter), smart-TV, router och Blu-ray-spelare. Testet visade att flera av enheterna var sårbara för cyberattacker på grund av brister i mjukvaran. 14 av sårbarheterna fanns i NAS-enheten, en av dem i smart-TV:n och flera dolda fjärrkontrollsfunktioner fanns hos routern.  

– Det finns tydliga säkerhetsrisker med uppkopplade prylar som vi alla måste vara medvetna om. Dessutom bör vi komma ihåg att ett starkt lösenord inte alltid är skydd nog, säger David Jacoby. Det tog mig mindre än 20 minuter att hitta och verifiera väldigt allvarliga sårbarheter i en enhet som vid första anblick verkar vara säker och till och med anspelar på säkerhet i varumärkesnamnet.

Kaspersky Lab vill inte avslöja namnen på berörda leverantörer innan dessa har hunnit släppa en säkerhetspatch som åtgärdar sårbarheterna. Samtliga leverantörer har informerats om de upptäckta sårbarheterna.  

NAS-enheter
De allvarligaste sårbarheterna fanns i NAS-enheterna. Flera av dem skulle göra det möjligt för en angripare att på distans styra systemet med högsta administratörsrättigheter. De förinställda lösenorden hos prylarna var dessutom svaga. Administratörlösenordet hos en av enheterna bestod av endast en siffra. En annan enhet delade hela konfigurationsfilen med krypterade lösenord till alla i nätverket.

Genom att använda en separat sårbarhet lyckades David Jacoby ladda upp en fil på ett ställe i en enhets lagringsminne som är oåtkomligt för vanliga användare. Om filen vore skadlig skulle enheten kunna smitta alla enheter som ansluts till samma nätverk – exempelvis en dator.

Smart-TV
När David Jacoby granskade säkerheten hos sin smart-TV upptäckte han att kommunikationen mellan TV:n och de tjänsteleverantörer som är integrerade i TV:n är okrypterad. Det innebär en möjlig risk för så kallade ”man-in-the-middle”-attacker som kan resultera i att användaren för över pengar till angriparen när den egentligen försöker köpa innehåll via TV:n. David Jacoby lyckades själv ersätta en av ikonerna på TV:n med en egen bild. Normalt sett laddas ikonerna ned från tjänsteleverantörens servrar men då anslutningen inte är krypterad kan informationen ändras av utomstående.

Router
DSL-routern som förser enheterna i hemmanätverket med trådlös tillgång till internet innehöll flera skadliga och dolda funktioner. Några av dessa skulle kunna ge internetleverantören tillgång till alla enheterna i ett privat nätverk. Flera sektioner i routerns webbgränssnitt – som ”Web Cameras”, ”Telephony Expert Configure”, ”Access Control” och ”Update” – är ”osynliga” och kan inte justeras av ägaren till enheten. Orsaken till att dessa funktioner finns på routern är att internetleverantören enkelt ska kunna lösa eventuella tekniska problem. Men skulle utomstående få kontroll över dessa innebär det istället en risk.

– En stor del av säkerhetsproblemet är livslängden hos dessa prylar, säger David Jacoby. Många leverantörer släpper inte säkerhetsuppdateringar för en sårbarhet hos en produkt efter att den har utgått. Men medan produktlivscykeln för många av prylarna oftast är bara ett eller två år är den verkliga livslängden – till exempel för NAS-enheter – mycket längre.

Så säkrar du dina uppkopplade prylar i hemmet:

• Uppdatera löpande dina prylar med de senaste säkerhetsuppdateringarna. Det minskar risken för att angripare lyckas utnyttja kända sårbarheter. 
• Ändra alltid det förinställda användarnamnet och lösenordet – det är det första en angripare försöker med när den vill hacka enheten.
• Dela upp nätverket så att dina enheter bara har tillgång till valda delar. På de flesta routrar och switchar för hemmabruk går det att sätta upp ett eget nätverk för varje enskild enhet och att begränsa access till enheten med hjälp av flera olika så kallade DMZ (fria zoner mellan det externa nätet och det interna nätet) och VLAN (separerade logiska nätverk inom samma fysiska nätverk). Exempelvis är det inte nödvändigt att TV:n är sammankopplad med skrivaren.

·  Mediekontakt: Bite, 08-402 01 00, kaspersky@biteglobal.com