Poważna wada konstrukcyjna w nowych urządzeniach zabezpieczeń domowych Shelly Gen 4 może narazić miliony europejskich domów na ataki – alarmuje Pen Test Partners.
Badacze bezpieczeństwa z firmy doradczej specjalizującej się w cyberbezpieczeństwie twierdzą, że odkryli poważną lukę w produktach inteligentnego domu Shelly, europejskiego dostawcy systemów zabezpieczeń domowych.
Obecnie urządzenia Shelly działają w ponad 5,2 mln domów w Europie. Zdaniem Pen Test Partners ten błąd konstrukcyjny tworzy niewidoczną furtkę do prywatnych domów, której większość użytkowników nigdy nie odkryje.
Według Pen Test Partners nowe urządzenia Shelly Gen 4 inteligentnego domu pozostawiają otwarty punkt dostępowy Wi‑Fi, potrzebny do wstępnej konfiguracji, włączony na stałe, nawet po poprawnym podłączeniu do domowej sieci Wi‑Fi. W praktyce oznacza to ukrytą sieć działającą w tle, bez wiedzy i zgody użytkowników, długo po zakończeniu konfiguracji.
Tymczasem wcześniejsze modele firmy automatycznie wyłączały ten punkt dostępowy po podłączeniu urządzenia do domowej sieci Wi‑Fi.
Taka luka może pozwolić każdemu, kto stoi na zewnątrz domu, skorzystać z sieci Wi‑Fi mieszkańców, by otworzyć drzwi wejściowe, bramę garażową lub wjazdową. To stwarza realne ryzyko włamań i kradzieży z włamaniem.
Problem jest jednak znacznie poważniejszy. Szersze dochodzenie przeprowadzone przez Pen Test Partners wskazuje, że to coś więcej niż zwykły błąd projektowy.
Luka w obecnej serii Gen 4 sprawia, że jedno podatne urządzenie może posłużyć jako punkt wyjścia do przejęcia dostępu do niemal wszystkich urządzeń inteligentnego domu, niezależnie od tego, czy są to produkty Shelly, czy innych firm.
W wielu domach w całej Europie wciąż działają sieci złożone z urządzeń różnych generacji, zarówno Shelly, jak i innych marek. To może prowadzić do poważnego braku ochrony – w sieci i w świecie fizycznym.
Na razie brak działań naprawczych
Pen Test Partners informuje, że zawiadomiła Shelly o luce, a firma zapowiedziała, że seria aktualizacji oprogramowania sprzętowego 1.8.0 ma usunąć ten błąd.
Do tego czasu użytkownicy muszą sami ręcznie wyłączać punkty dostępowe, choć większość właścicieli domów może nie mieć świadomości, że to konieczne.
„Powinni przeprowadzić szeroką kampanię informacyjną, wyjaśnić, że punkt dostępowy pozostał otwarty i jak go wyłączyć. Nie zrobili tego, bo prawdopodobnie uderzyłoby to w ich reputację” – powiedział Ken Munro, założyciel Pen Test Partners, w rozmowie z Euronews Next.
Firma Shelly przekazała Euronews Next, że użytkownikom, którzy korzystają z oficjalnej procedury konfiguracji w aplikacji mobilnej, punkt dostępowy wyłącza się automatycznie.
Użytkownicy wybierający ręczną konfigurację otrzymują ostrzeżenia, by zabezpieczyć punkt dostępowy. Zapowiadana aktualizacja firmware’u ma automatycznie wyłączać punkty dostępowe po upływie określonego czasu.
„Chcemy podkreślić, że wszystkie ścieżki konfiguracji i zasoby cyfrowe w ekosystemie Shelly – w tym nasza aplikacja mobilna i interfejs chmurowy w wersji webowej – zawierają jasne wskazówki dotyczące zabezpieczania urządzeń” – powiedział rzecznik Shelly w rozmowie z Euronews Next.
„Wszelkie wybory konfiguracji dokonywane poza tymi zalecanymi ścieżkami, w tym pozostawienie punktu dostępowego bez zabezpieczenia, są ostatecznie kwestią decyzji użytkownika i wykraczają poza zakres bezpośredniej kontroli platformy.
„Jak w przypadku każdego urządzenia podłączonego do sieci, użytkownicy mogą konfigurować sprzęt zgodnie ze swoimi potrzebami, a my aktywnie zachęcamy, by stosowali się do zaleceń dotyczących bezpieczeństwa przekazywanych podczas konfiguracji” – dodał.
Firma podkreśliła też, że w jednej z kolejnych wersji firmware’u wprowadzi usprawnienie umożliwiające automatyczne wyłączenie punktu dostępowego po z góry ustalonym czasie, chyba że będzie on wyraźnie potrzebny do konfiguracji lub wdrażania urządzenia.
Rosnąca liczba luk w urządzeniach podłączonych do sieci
W ostatnich latach coraz więcej urządzeń inteligentnego domu i innych sprzętów podłączonych do sieci jest krytykowanych za poważne luki bezpieczeństwa. Dotyczy to m.in. dzwonków wideo Ring Amazona oraz kamer monitoringu firmy Dahua.
„Specjalizujemy się w urządzeniach podłączonych do sieci i testujemy najróżniejsze systemy inteligentnego domu” – zaznaczył Munro.
„Widzieliśmy podobne problemy w falownikach instalacji fotowoltaicznych, a ponad 10 lat temu znaleźliśmy bardzo podobną lukę także w samochodzie.”
Wycieki danych z tych urządzeń, zwłaszcza danych o sposobie korzystania ze sprzętu i zachowaniach użytkowników, to kolejny istotny problem.
„Czasem odkrywamy, że dane o zachowaniach i sposobie korzystania z urządzeń wyciekły przypadkiem. Producenci inteligentnych sprzętów zbierają dane o użytkowaniu, żeby ulepszać swoje produkty, i często zapominają, że informacje o pojedynczych osobach mogą zdradzać naprawdę wiele” – powiedział Munro.