Taloussanomat

Suomessa myytävässä tv-tikussa haavoittuvuus – kotiverkon voi kaapata

EZCastin Pro-malli.

7.1.2016 16:48 Chromecast-klooni EZCastissa on kolme aukkoa, joiden kautta voi päästä tikun omistajan kotiverkkoon.

Tietoturvayhtiö Check Point Software Technologies kertoo löytäneensä haavoittuvuuden televisioihin kytkettävistä EZCast-toistinlaitteista.

Kyseessä on Chromecastin tapainen hdmi-liitännällä televisioon kytkettävä laite, joka tekee tavallisesta televisiosta älylaitteen.

Haavoittuvuus antaa hyökkääjälle pääsyn laitteen omistajan kotiverkkoon ja mahdollistaa verkossa olevien laitteiden haltuunoton esimerkiksi bottiverkkoon.

Laitteeseen on kolme erilaista hyökkäysvektoria, kertoo Check Pointin tutkija Oded Vanunu Digitodaylle puhelimitse.

– Ensimmäinen on se, että laitteessa on kaksi langatonta verkkosovitinta. Toinen on ensimmäistä yhteyskertaa varten, toisella laite kytkeytyy kotiverkkoon. Nämä ovat yhteydessä toisiinsa ja ne on suojattu heikoilla salasanoilla, jotka murtuvat muutamassa minuutissa. Tämän jälkeen hyökkääjällä on pääsy verkkoon.

– Toinen hyökkäysvektori on url-osoitteen lähettäminen sähköpostitse henkilölle, jonka verkossa on EZCast. Verkko-osoitetta klikkaamalla voi suorittaa koodia, jolla EZCastia voi ohjailla suoraan.

– Kolmas on laitteen käskyttäminen suoraan, kun EZCast näkyy internetiin. Tämä on yleistä, sillä laitetta voi ohjailla etänä, Vanunu sanoo.

Vanunu sanoo Check Pointin ilmoittaneen asiasta AZCastin valmistajalle puoli vuotta sitten, mutta vastausta ei kuulunut.

– Julkistimme tiedon, koska haluamme työntää esineiden internet -markkinoita turvallisempaan suuntaan. Samalla haluamme lähettää kuluttajille viestin, jotta he ymmärtäisivät 20 dollarin laitteen muodostavan heille todellisen tietoturvariskin. Turvatusta verkkoympäristöstä voi tulla helposti bottiverkko, Vanunu jatkaa.

Check Pointin mukaan EZCast-laitteita on myyty noin viisi miljoonaa. Laitetta on myynnissä myös useassa suomenkielisessä verkkokaupassa, mutta Suomen-myyntimääristä ei ole tietoa.

Vanunu painottaa, että kodin älylaitteet tuovat kuluttajille uudenlaisia riskejä. Hänen mukaansa kuluttajan ei tulisi kuitenkaan joutua tilanteeseen, jossa nämä joutuvat itse säätelemään tai tulkitsemaan verkkouhkiensa tasoa.

– Jos laite on puhelimen tai tietokoneen kautta etähallittavissa, riski on aina olemassa. Jos se on päätelaitteista erillään, uhka on pienempi, hän sanoo nyrkkisäännöksi.

Jutun kirjoitti: Henrik Kärkkäinen

Henrik Kärkkäinen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (5)

Sivut: 1
EdellinenSeuraava

Anonyymi
Hyökkäykset on helppo estää vastasuuntaiselle diodilla tai polyyppivektorilla.
eli a.b=||a||||b|| cos a.
Anonyymi: hosts 7.1.2016 17:43

Anonyymi
Hyökkäykset on helppo estää vastasuuntaiselle diodilla tai polyyppivektorilla.
eli a.b=||a||||b|| cos a.


Tai laittaa tikun kaljamukiin.
Anonyymi: Triax 7.1.2016 18:07

Anonyymi
Typerä vekotin. Varsinkin, jos sen ohjaamiseen tarvitaan puhelinta! Hyvät laitteet toimivat television omalla kaukosäätimellä HDMI CEC protokollan yli, tai jos eivät niin sitten esimerkiksi langattomalla USB näppäimistöllä.

On myös ensiarvoisen tärkeää, että käyttäjällä itsellään on root-oikeudet laitteeseen, jolloin ei voida piilotella mitään käyttäjää vastaan suunnattuja toimintoja. Pitää olla avoin ympäristö, esimerkiksi Kodi.
Anonyymi: _Kodi_ 7.1.2016 21:17

Anonyymi
On myös ensiarvoisen tärkeää, että käyttäjällä itsellään on root-oikeudet laitteeseen, jolloin ei voida piilotella mitään käyttäjää vastaan suunnattuja toimintoja. Pitää olla avoin ympäristö, esimerkiksi Kodi.


Miten onkaan käynyt niille sadoille miljoonille root-tason oikeuksilla varustettuille Windows-käyttäjille? Erittäin huonosti jos virus on tullut koneelle ja ei ole auttanut millään tavalla suojautumaan useinpien kohdalla.
Anonyymi: nojootaas 8.1.2016 0:27

Anonyymi
Noista selityksistä ei kyllä saanut mitään selvää. Tuskinpa edes googlen kautta käännettyinä lauseet olisivat olleet yhtään epäselvempiä.

Samalla haluamme lähettää kuluttajille viestin, jotta he ymmärtäisivät 20 dollarin laitteen muodostavan heille todellisen tietoturvariskin.

Vanunu taitaa olla silleen samalla tavalla naiivi kuin eräät hyysärit.

Onhan noita viestejä lähetelty tasaisin väliajoin, eikä ole yhtään saanut normitallaajia ottamaan selvää käyttämänsä tietotekniikan perusteista.

Halpapaskaa ostavat tollot tulevat jatkamaan Kiinassa tuotetun roskan ostamista niin kauan kuin ovat hengissä.

Jos someyhtiöiden tempaukset, USA/CIA/NSA, ja niiden laaja uutisointi tampioidenkin seuraamissa pornolehdissä ei saa aivosoluja liikkeelle, niin ei varmasti myöskään hakkereiden konferensseissaan esittämät powerpointit.

20 euron elektroniikkaroskan tietoturvavaaroista tiedottaminen perusvajokkeille on aivan sama asia kuin pitäisit solubiologisen luennon puoli-ilmaisia huumeruiskuja jonottaville narkeille.

Turvatusta verkkoympäristöstä voi tulla helposti bottiverkko, Vanunu jatkaa.

Voi herra Vanunu! Ei kellään normi-ihmisellä ole mitään turvattua verkkoympäristöä.

Check Pointin mukaan EZCast-laitteita on myyty noin viisi miljoonaa.

Paljonko lie maksanut kasaaminen jossain kiinalaisessa tehtaassa? Kehitystyöhön käytetyt resurssit ainakin voi päätellä artikkelista. Myyntimäärän saa kertoa vähintään kymmenellä eurolla.
Anonyymi: jakuaari 8.1.2016 10:58
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Lehti: Microsoft aikoo nostaa Android-rojaltimaksuja

30.05.2011 HTC ja muut matkapuhelinvalmistajat joutuvat maksamaan Microsoftille lisenssimaksuja Android-puhelimissa käytetyistä palveluista.


2013

Kolme vuotta sitten

Intel suunnistaa mobiiliin ST-Ericssonin gps-siruilla

30.05.2013 Intelin uusi toimitusjohtaja näyttää ryhtyneen nopeasti toimiin viedäkseen maailman suurinta suoritintoimittajaa kasvaville mobiilimarkkinoille. Intel vahvistaa ostaneensa ST-Ericssonin gps-siruyksikön.

.