„Dnes pracujete z domova na firemním notebooku – a ten je připojený ke stejné Wi-Fi jako váš robotický vysavač. Jakmile hacker napadne vysavač, je uvnitř vaší sítě. A odtud má přístup i k vašemu počítači s firemními daty,” vysvětluje Patrik Žák, etický hacker a expert na kyberbezpečnost ze společnosti Sysnetshield.
Co se dozvíte v článku
Když v říjnu 2024 obletěla svět zpráva o hacknutých vysavačích, které vulgárně urážely své majitele, působilo to jako scéna z dystopického filmu. Dnes, o rok později, vidíme, že to byl jen začátek trendu. Útočníci se přesouvají od vandalismu k sofistikované špionáži a využívají k tomu ta nejnevinnější zařízení.
Report z DefCampu: Hračky zdědily hříchy bezpečnostních kamer
„Na IoT Hacking Village v rámci letošního DefCampu jsme viděli jasný trend: výrobci chytrých hraček opakují fatální chyby, které jsme před lety kritizovali u levných bezpečnostních kamer,“ popisuje situaci Patrik Žák.
Zatímco kamery se pod tlakem legislativy začaly zlepšovat, segment Smart Toys zůstává Divokým západem. Žák upozorňuje na dva technické fenomény, které dělají z plyšáka s Wi-Fi kritické riziko pro domácí (a tím pádem i firemní) síť:
- Hardcoded Credentials: Řada hraček využívá generické IoT chipsety (např. ESP32, Nordic nRF52) ale i bluetooth, kde jsou servisní přístupová hesla „natvrdo“ zapsaná ve firmwaru. Útočníkovi stačí provést reverzní inženýrství jednoho kusu, získat klíč a následně se může připojit k jakékoli identické hračce v dosahu.
- Zapomenutý Telnet: Na mnoha zařízeních běží na pozadí nezabezpečený protokol Telnet. „Je to jako nechat otevřená zadní vrátka, o kterých uživatel neví. Útočník se přes ně připojí, převezme kontrolu nad mikrofonem hračky a z dětského pokoje se stává nahrávací studio,“ vysvětluje Žák.
Kontext: Když na vás začne vysavač řvát
Abychom pochopili dopad těchto zranitelností na firemní bezpečnost, musíme se vrátit k již zmíněnému incidentu z října 2024. Tehdy majitelé vysavačů Ecovacs Deebot X2 Omni v USA nahlásili, že jejich zařízení byla ovládnuta na dálku. Útočníci nejenže pouštěli do reproduktorů rasistické urážky, ale ovládali i pohyb zařízení.
„Pro firemní bezpečnost to má děsivý rozměr,“ upozorňuje Žák. „Hacknutý vysavač s LIDARem a kamerou nevidí jen nepořádek. Vytváří detailní 3D mapu prostoru. Pokud pracujete z domova, útočník přesně vidí, kde máte stůl, jaký máte hardware a skrze kameru vysavače může číst obsah obrazovky.“
Tato zranitelnost, původně demonstrována na konferenci DEF CON výzkumníky Dennisem Giesem a Braelynn Luedtke, ukázala slabinu v Bluetooth implementaci, která umožnila převzetí kontroly na vzdálenost 130 metrů.
Proč by fritéza potřebovala přístup k mikrofonu?
Zatímco hack vysavačů byl hlučný a viditelný, jiná hrozba pracuje v tichosti. Britská spotřebitelská organizace Which? testovala na podzim 2024 tři populární modely horkovzdušných fritéz – a výsledky byly alarmující. Každá z testovaných fritéz (Xiaomi, Cosori, Aigostar) požadovala při instalaci mobilní aplikace přístup k mikrofonu telefonu. Proč by fritéza měla nahrávat zvuk? Odpověď nenabídl žádný výrobce.
Aplikace značky Xiaomi navíc automaticky posílala data na reklamní trackery Facebooku a TikToku. Produkty od Xiaomi a Aigostar pak přenášely osobní údaje na servery v Číně – bez jasného vysvětlení, jaké informace sbírají a k čemu.
„Uživatelé bezmyšlenkovitě odkliknou všechna oprávnění při instalaci aplikace," říká Patrik Žák. „Pokud má fritéza přístup k mikrofonu a vy ji máte v kuchyni, kde telefonujete s klienty nebo kolegy na home office, stává se z ní de facto odposlouchávací zařízení. Metadata z takových zařízení se dají křížit s dalšími zdroji a vytvořit detailní profil uživatele – včetně jeho pracovních návyků.“
Problém není jen v samotném sběru dat. Pokud jsou informace posílány na zahraniční servery mimo jurisdikci EU, ztrácí uživatel i firma kontrolu nad tím, kdo k nim má přístup a jak se využívají.
Botnet pod televizí: 30 000 Němců nevědomky útočilo na internet
Nejméně viditelnou, ale technicky nejsofistikovanější hrozbou jsou levné Android TV boxy. V prosinci 2024 německý úřad pro kybernetickou bezpečnost (BSI) zablokoval komunikaci 30 000 zařízení na území Německa.
Video ke kávě
Máte čas na rychlé a informativní video?
Všechna byla nakažena malwarem Badbox, který se do nich dostal už při výrobě – typicky šlo o modely T95, T8585 a další no-name boxy prodávané na Amazonu či AliExpressu. Celosvětově jde přitom o miliony napadených zařízení.
Malware Triada, který je součástí Badboxu, dokáže z televizního boxu udělat uzlový bod pro další kyberútoky. Zařízení funguje jako proxy server – majitel ani netuší, že jeho IP adresa útočí na banky, vládní instituce nebo podniková úložiště. „Koupíte levný Android box za pár stovek, zapojíte ho do domácí sítě – a nevědomky se stáváte součástí globálního botnetu,“ vysvětluje Patrik Žák mechanismus útoku.
„Vaše IP adresa pak může útočit na infrastrukturu kdekoli na světě, aniž byste o tom měli ponětí. A pokud pracujete z domova přes firemní VPN, otevíráte útočníkovi cestu i do podnikové sítě. Jde o klasický supply chain attack – hrozba je zabudována už z výroby.“
Německé úřady byly nutné použít techniku zvanou sinkholing – přesměrování komunikace nakažených zařízení do „černé díry", aby nemohla dál útočit. Pro běžného uživatele to ale neznamená, že je jeho TV box bezpečný – jen že se dočasně přerušilo spojení s řídicím serverem. Jak se bránit?
VPN vás nezachrání, co tedy dělat?
„Iluze, že firemní notebook je v bezpečí díky VPN, padá ve chvíli, kdy je připojen na stejnou Wi-Fi jako děravá hračka,“ vysvětluje Patrik Žák.
„Řešení není zakázat chytrá zařízení. Problém je v tom, že většina uživatelů ani firem neví, co vlastně mají ve své síti připojené,“ uzavírá Žák.
Jeho doporučení pro firmy jsou jasná:
- Segmentace sítě: Všechna IoT zařízení patří do separátní sítě pro hosty (Guest Network), která nemá přístup k firemním zařízením ani k počítačům používaným pro práci. Laterální pohyb útočníka se tím výrazně ztíží. Zásada minimální konektivity: Pokud zařízení nepotřebuje internet ke své primární funkci (jako fritéza nebo robotický vysavač), není důvod ho připojovat. Většina těchto zařízení funguje i bez mobilní aplikace.
- Revize oprávnění: Každá aplikace IoT zařízení by měla projít kontrolou – jaká oprávnění skutečně potřebuje a která jsou podezřelá (mikrofon u fritézy, přesná poloha u vysavače).
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU