«Безумный дом» на PHDays: киберугрозы обычной квартиры

Окружающие нас предметы становятся все функциональнее и удобнее. Сегодня интернет есть уже не только в автомобилях, но и в некоторых микроволновках и холодильниках, а по прогнозу аналитической компании Gartner, к 2020 году количество бытовых устройств, подключенных к Сети, превысит 26 млрд при объеме рынка в 300 млрд долларов.

^[1]

При этом мало кто из пользователей отдает себе отчет в том, что, как и обычные компьютеры с доступом в интернет, гаджеты, образующие так называемый интернет вещей, могут быть атакованы злоумышленниками. Чтобы продемонстрировать возможные последствия такой атаки, организаторы PHDays ^[2] создали копию реальной квартиры, оборудованной различными электронными приборами и системой «умного дома». По легенде конкурса, из-за сбоя дом «сошел с ума» и стал настоящей ловушкой для своего хозяина, освободить которого и должны были участники соревнования.

Сердцем умного дома являлся контроллер, управлявший бытовыми приборами. В конкурсной модели квартиры этот контроллер мог управлять освещением, водоснабжением (электронасосом), телевизором, пылесосом и другими приборами.

Попадя в квартиру, человек должен был пройти идентификацию, для того чтобы система умного дома разрешила ему управлять подключенными к ней устройствами. Система измеряла рост и вес человека. Данные считывались с помощью разнообразных датчиков. Также было установлено специальное устройство, которое распознавало владельца по отпечатку ладони.

После идентификации система снимала блокировку с HMI-интерфейса управления электроприборами. Получить к нему доступ можно было через планшет, находившийся в квартире, который нужно было также предварительно разблокировать.

Получить доступ к интерфейсу управления через планшет можно было через недостаток технологии Face Unlock в Android. Ее можно «обмануть», поднеся к камере фото владельца защищаемого устройства — а на одной из стен в квартире как раз висела его фотография. Победой над искусственным интеллектом в игре в шахматы также можно было разблокировать планшет.

Для каждого из заданий существовал альтернативный способ прохождения, напрямую связанный с поиском и эксплуатацией уязвимостей в обозначенных выше системах. «Недокументированные возможности», позволяющие обойти логику работы программ, были связаны с некорректной реализацией взаимодействия клиент-серверного приложения. К сожалению, мало кто прибегал к хакерской сноровке, чего мы все так ждали.

Для того чтобы одержать победу, участнику нужно было пройти все испытания и получить контроль над умным домом быстрее конкурентов.

Победителем, показав результат 6 минут и 3 секунды, стал участник, скрывающийся за псевдонимом Cryden.

«Безумный дом» PHDays стал логическим продолжением прошлогоднего соревнования «Лабиринт ^[3]», который состоялся на Positive Hack Days III. В ходе этого конкурса участники должны были за минимальное время преодолеть полосу препятствий, оборудованную датчиками движения, лазерным полем и другими испытаниями.

Автор: ptsecurity

Источник ^[4]