Hjemmesiden vurderer sikkerheden for internet-tilsluttede enheder

Hvis du leder efter en internetforbundet garageportåbner, dørklokke, termostat, overvågningskamera, gårdvandingssystem, slow cooker – eller endda en kasse med tilsluttede pærer – et nyt websted kan hjælpe dig med at forstå de sikkerhedsproblemer, som disse skinnende nye enheder kan bringe ind i dit hjem.

Internet of things (IoT)-enheder i forbrugerkvalitet er ikke ligefrem kendt for at have stram sikkerhedspraksis. For at spare købere fra at finde ud af det på den hårde måde, forskere fra Georgia Institute of Technology og University of North Carolina i Chapel Hill har lavet sikkerhedsvurderinger af repræsentative enheder, giver score fra 28 (et F) op til 100.

Deres hjemmeside, https://yourthings.info, viser placeringer for 45 enheder, selvom i alt 74 er blevet evalueret. Det er næppe en komplet opsummering af de titusindvis af tilgængelige enhedstyper, men den store idé bag projektet er at hjælpe forbrugerne med at forstå vigtige spørgsmål, før de forbinder en ny IoT-hjælper til deres hjemmenetværk.

"Mange mennesker, der køber disse enheder, forstår ikke helt de risici, der er forbundet med at installere dem i deres hjem, " sagde Georgia Tech Graduate Research Assistant Omar Alrawi. "Vi ønsker at give indsigt ved at give sikkerhedsvurderinger for de enheder, vi har testet."

Stemmeaktiverede personlige digitale assistenter er blandt de mest almindelige IoT-enheder til hjemmet, men hvis den ikke er korrekt installeret, de kan give uønsket adgang til de hjemmenetværk, som de er tilsluttet, advarede Manos Antonakakis, en cybersikkerhedsforsker og lektor ved Georgia Tech's School of Electrical and Computer Engineering.

"Hvis du har en IoT-app, der er sårbar, den, der har adgang til den app, har ikke kun adgang til dine personlige oplysninger, men kunne også hoppe ind i dit hjem og aflytte dine samtaler, " sagde han. "Alt, der er forbundet i hjemmet i nærheden af ​​den personlige assistent, kunne også interagere med det. Hvis der kører sårbar software på enheden, det kunne udnyttes i hjemmenetværket."

Et problem er, at de fleste hjemmenetværk blev sat op til simple opgaver som at dele printere, så de mangler den slags sikkerhedskontroller, der findes på virksomhedssystemer hos virksomheder, bemærkede Chaz Lever, en forskningsingeniør ved Georgia Tech's School of Electrical and Computer Engineering.

"Hjemmenetværket begynder at ligne virksomhedsnetværk med en række tjenester, der skal beskyttes, "Lever sagde. "Men den gennemsnitlige forbruger vil ikke være udstyret til at gøre det. De har ikke en it-medarbejder, der udfører revisioner og sikrer enhederne. Hvis disse enheder ikke er sikret ud af æsken, og der ikke er nemme måder at sikre dem på, de kan åbne hjemmet op for en ny vektor af angreb."

For at give forbrugerne nyttige råd, forskerne udviklede en ramme til analyse af sikkerhedskomponenter i enhederne. I hvad der menes at være det første forsøg på objektivt at vurdere risiciene ved IoT-udstyr, de undersøgte selv apparaterne, hvordan enhederne kommunikerer med cloud-servere, de programmer, der kører på enhederne, og de skybaserede slutpunkter.

"Jo flere tjenester der kører på enheden, jo højere sandsynligheden er for, at nogle af dem vil være sårbare over for angreb, " sagde Antonakakis. "At levere mange tjenester kan være attraktivt ud fra et marketingperspektiv, men hvis du har flere tjenester, risikoen stiger."

I deres undersøgelse af IoT-enheder, forskerne fandt store variationer i sikkerhed afhængigt af producenten. I nogle tilfælde, udstyr fremstillet af små og mindre kendte virksomheder klarede sig bedre end udstyr fremstillet af større virksomheder.

"Der er nogle enheder, der gør sikkerhed rigtig godt, og andre producenter bør lære af disse eksemplariske enheder, " sagde Alrawi. "Vi så hele spektret af godt og dårligt, og nogle gange blev vi overraskede over resultaterne af vores evaluering."

Fordi de er designet til at blive installeret af forbrugere, disse IoT-enheder skal være nemme at bruge. Imidlertid, nogle gange er brugervenlighed sikkerhedens fjende. Et eksempel er en tjeneste kendt som UPnP, som gør netværket kendt under installationen, så kommunikation kan etableres.

Men en enhed, der annoncerer sig selv på netværket, kan tiltrække angribere, Håndtag noteret. "Det er nyttigt for enhederne at kommunikere, hvad de gør, men det åbner op for sårbarheder. Valget af protokoller påvirker ikke kun enheden, men også sikkerheden på det netværk, det kører på."

Internetforbundne pærer har næppe en lang levetid, men det er ikke tilfældet med dyre apparater som internettilsluttede køleskabe. Antonakakis bekymrer sig om, at disse enheder kan blive sikkerhedsrisici uden regelmæssige opdateringer.

"Ideelt set forbrugeren skal ikke være opmærksom på, at deres køleskab har brug for opdateringer, der skal downloades til enheden, " sagde han. "Vi ønsker, at det skal ske automatisk og sikkert. Hvorfor skulle nogen skulle vide, hvordan man lapper deres køleskab?"

Selvom ideen om at hacke en slow cooker kan virke morsom, enhederne har varmeelementer, der kan forårsage brand, hvis en ondsindet aktør skruede op for temperaturen. Angreb kan også ramme mere end en boligejer. I 2016 Mirai-botnettet udnyttede usikrede internet-tilsluttede kameraer - mange af dem babyalarmer - til at skabe et massivt distribueret lammelsesangreb, der efterlod en stor del af internettet utilgængeligt.

Ud over at uddanne forbrugerne, forskerne håber at fremme bedre sikkerhed hos enhedsproducenter ved at spore sikkerhedstendenser over tid.

"Vi håber at kunne inspirere både tekniske og politiske næste skridt, " sagde Antonakakis. "Der er behov for at etablere politik og standarder. Vi ønsker at hæve sikkerhedsniveauet for alle disse enheder. Der er meget mere, der kunne gøres."