“Ha valaha kizárnád magad a házamból, a hátsó ajtó kódja “0738”.” Ez volt az egyik legfélelmetesebb mondat, amelyet egy amerikai férfi az élete során hallott. Pedig a szavakat nem más, mint ő maga mondta ki. Nem sejtette azonban, hogy egyszer visszahallja őket, méghozzá egy, a Google Home okos otthon rendszere által felvett beszélgetés kivonataként. Szóval, mint látjuk egy etikátlanul működő okos-villanykörte is elég lett volna ahhoz, hogy bárki gond nélkül hatoljon be a házába. Futurisztikusan hangzik? Pedig ez a valóság.
Túl okos otthon
Az Amazon Echo és a Google Home okos-rendszerek 2019-ben kerültek először komolyabban a támadások kereszttüzébe. Kiderült ugyanis, hogy a rendszerek adatvédelmi szempontból erősen aggályosan működtek. A kifejezett “kémkedés” tényét nem sikerült bizonyítani, az viszont kristálytisztán látszott, hogy az eszközök jóval több adatot gyűjtöttek, mint amennyire engedélyük lett volna.
Az Echónak és a Home-nak csak akkor lenne szabad bekapcsolnia az alvó állapotból, ha meghallják a “hívószót”. Az Amazon gépei esetében ez az “Alexa”, a Google esetében pedig az “OK, Google!”. A valóság azonban kicsit mást mutat. A Consumer Watchdog nevű jogvédő csoport kutatása feltárta: az eszközöknek sokszor elég egy kis háttérbeszélgetés is ahhoz, hogy bekapcsoljanak.
A vizsgált gépek rengeteg olyan információt rögzítettek - többek között a fenti mondatot -, amelyet a tulajdonosok egyáltalán nem szerettek volna megosztani a rendszerrel. Ezek között voltak beszélgetésfoszlányok, tévéműsorok hangjai, de egészen pikáns jelenetek is. Az Amazon dolgozói például bevallották, hogy “nem tudják nem meghallani”, ha a vizsgált felvételen valaki éppen ágyba bújt valakivel.
Az áruló villanykörte
Az egyik okos-eszköz azt is rögzítette, hogy az egyik felhasználó magában dohogva, majd végül hangosan kimondja: “XY, menj a p#&@ba!”. A “véletlenül” rögzített információk nem csak azért károsak, mert a vállalatok alkalmazottai lehallgathatják őket. A beszélgetések mentése szinte bárkinek hozzáférhető.
Legutóbb a Philips Hue okos villanykörtéiről derült ki, hogy viszonylag könnyű feltörni őket. A lámpa ugyanazt a protokollt használja, mint az Amazon és a Google otthoni eszközei. A lámpák azonban Kínában készülnek, elképesztően kis költségvetésből, a szakértők szerint így szinte lehetetlen elkerülni, hogy sérülékenyek legyenek.
A Google és az Amazon arra hivatkozik, hogy csak azért készít felvételeket, hogy fejleszteni tudja az eszközök beszéd-felismerési rendszerét. A felhasználási feltételek szerint azonban a készülékek akár akkor is készíthetnek felvételeket, amikor ki vannak kapcsolva. Az interneten több videó is kering arról, mennyire könnyű aktiválni egyik-másik rendszert egy olyan kifejezéssel, amelyik hasonlít a hívószóhoz. Az eszközök ráadásul sokszor akkor is rögzítik a körülöttük lévő zajokat, amikor a munkájukat végzik. Előfordulhat, hogy csak egy idegen kifejezésre szeretnénk rákeresni a Google-ben, de a Home közben megtudja, mit nézünk a tévében vagy miről beszélget a háttérben a családunk.
“Ezek az eszközök olyan sok adatot gyűjtenek, hogy valójában a cégeknek kellene fizetnie érte, hogy az otthonunkba vigyük őket”. - mondja egy biztonsági szakértő. Valóban, az Alexa és a Google Home olyan adatokhoz is hozzáférhet, amelyeket eddig tényleg sehol nem osztottunk meg. Fizikailag képesek követni az “offline” cselekedetek nagy részét is.
Abszolút nincs kontrollunk felette
Az okos-otthon rendszerek többnyire az IoT vagyis a “Dolgok internetének” részei. Az IoT eszközök nem egyszerűen az internetről vezérelhetőek, hanem egymással is kapcsolatban vannak. Ebben a helyzetben az adatvédelem kezelése különösen problémás, mert a hálózat egyes pontjai között szinte nincs is emberi ellenőrzés. Nem tudjuk például, a porszívónk milyen adatokat oszt meg a hűtővel.
Sokszor azt sem tudhatjuk pontosan, melyik eszközünk milyen adatokat gyűjt és tárol. A népszerű Roomba porszívóról például több kutató is azt gyanítja, úgynevezett Lidar technológiát használ, vagyis a térérzékeléshez kifejlesztett lézeres letapogatóval anélkül képes hangot érzékelni, hogy mikrofonja lenne.
A lidarral legjobb esetben csak azt ismeri fel a készülék, hogy milyen adás megy a tévében, vagy milyen zenét hallgat valaki takarítás közben. Rosszabb esetben érzékelni lehet, ki tartózkodik otthon vagy hogyan beszélget a kihangosított telefonon valakivel. Kutatók megállapították, hogy egy porszívó lidarja is képes akár 90%-os biztonsággal felismerni a beszélgetésekben elhangzó számokat, így akár a már említett kapukódot, vagy a bankkártyánk biztonsági adatait is.
Hackerek azt jelentették, a Xiaomi porszívó rendszerébe is sikerült behatolni, sőt, az érzékelőket itt is lidarrá lehetett hangolni. A porszívók ráadásul általában ugyanazt a WiFi hálózatot használják, mint amelyre a többi eszköz, így az otthoni számítógépek is kapcsolódnak. Ennek köszönhetően viszont újabb biztonsági rést nyitnak az otthonunk további eszközei felé.
Miért veszélyes ez?
A kémkedés nem csak azért veszélyes, mert bárki viszonylag egyszerűen kihámozhatja az adathalmazból a jelszavainkat vagy titkos kódjaink valamelyikét. A kémkedés minden eddiginél precízebb profilozást is lehetővé tesz, ez pedig a manipuláció melegágya lehet. A social engineering nem csak személyeket, de tömegeket is érinthet, ennek pedig világméretű következményei lehetnek.
Az Amazon Ring nevű otthoni biztonsági rendszeréről már bebizonyosodott, hogy adatokat oszt meg a Facebookkal és a Google-lel. A Nest nevű okos termosztát esetében felmerült, hogy a biztosító társaságok szívesen fizetnének is a rendszer adataiért, esetleg ingyenesen helyeznék el a készüléket a kliensek otthonaiban. Ennek segítségével ellenőrzés alatt tarthatnák a biztosítottakat - nem lehetne például a kutyát felelőssé tenni egy kitört ablakért.
Az adatok titkosítása körül már így is rendszeresen vannak viták. Az is felmerült, hogy a rendőrség és más állami szervek kiskaput kaphatnának a kódolt csatornákhoz. Ez viszont azt is jelentené, tulajdonképpen teljes nyugalommal kémkedhetnének az otthonunkban. Megtudhatnák, mit nézünk a tévében, milyen privát beszélgetéseket folytatunk, mi az álláspontunk politikai vagy közügyekben.
Dobjuk-e ki az okos-hűtőt?
Az okos eszközök sokak életét megkönnyítik. Ráadásul az IoT használata nem csak kényelmes, sokszor szükségszerű is. Az okos-otthon megkönnyíti például a mozgáskorlátozottsággal élő emberek életét, hiszen a segítségével elvégezhetik a takarítási feladatokat vagy olyan részeit is kontrollálhatják a lakásnak, amelyeket eddig nem tudtak elérni.
Néhány egyszerű szabállyal a dolgok internete is biztonságosabbá tehető.
1. Rendszeresen frissítsük a szoftvereket!
A szoftverfrissítések sokszor betapasztják a már ismert, legveszélyesebb kiskapukat. Érdemes rendszeresen ellenőrizni, hogy az alkalmazások legújabb verzióját használjuk-e.
2. Szekcionáljuk az otthoni hálózatot!
Sok otthoni routeren már létrehozhatunk külön szekciókat, így az IoT eszközöket távol tarthatjuk attól a csatornától, amelyet az informatikai eszközeink használnak.
3. Állítsunk be figyelmeztetéseket!
A legtöbb eszköz képes jelezni, ha idegen behatolást észlel. Érdemes figyelni a hálózatra kapcsolódó eszközöket és beállítani figyelmeztetéseket.
4. Tartsuk karban az adatokat!
Rendszeresen töröljük a rendszer memóriáját! Figyeljünk rá, hogy az eszközök csak a szükséges adatmennyiséget tárolják!
5. Kontrolláljuk a wifi hálózatot!
Érdemes úgynevezett “whitelist-et” használni, tehát csak azokat az eszközöket engedjük csatlakozni a hálózatunkhoz, amiket a routeren felveszünk, így kézben tarthatjuk, hogy melyik eszköz használja a hálózatunkat.
Ma már léteznek olyan eszközök is, amelyek képesek megzavarni a környezetünkben található mikrofonokat. A technológia biztonságos használatához azonban ezeknél többre van szükség. A legbiztosabb, ha fizikailag is védekezünk a lehallgatás ellen. A használaton kívüli eszközöket érdemes teljesen áramtalanítani és leválasztani a hálózatról. Nem csak az okos-otthon eszközeit érdemes így védeni. Takarjuk le a számítógép kameráját, húzzuk ki a mikrofonokat is (ha van rá lehetőség). A nem használt eszközöket tartsuk zárt helyen! A munkával vagy pénzügyekkel kapcsolatos beszélgetéseket pedig átgondoltan, kikapcsolt eszközök mellett folytassunk.
Az otthoni hálózat biztonságos kialakítása rengeteget segíthet abban, hogy senki ne használja az értékes adatokat a saját javára. Az irodában használt biztonsági lépéseket bárki bátran alkalmazhatja a saját otthonában is, és javasoljuk is, hogy tegye ezt meg!
Amennyiben segítségre van szüksége kiberbiztonsági témában, keressen bennünket bizalommal.