Pomáhat zařízením IoT připojit se do sítě je pěkné, ale nejdřív by měli udělat menší krok zpět a nabídnou "jen" běžné a bezpečné bezdrátové připojení, před tím než začnou přidávat další doplňkové funkce, které mohou bezpečnost systému jen zhoršit. Rychlá náhrada WPA2 je tak nezbytná, že by se měli vyvarovat jakékoli možnosti chyby, i za cenu odepsání některých užitečných, ale ne nezbytných funkcí. Zapojovat zařízení do sítě bez zadání hesla na daném zařízení bude na 100% zneužitelné. Snad to nebude takový debakl jako s WPA2. Pro malware, který po připojení do sítě automaticky pomáhá připojivat další zařízení, se využití určitě najde.
Taky to vidím tak, že předání konfigurace do zařízení bude průšvih.
Buďto může nastavení změnit kdokoliv, protože neznáme zařízení, ze kterýho se to bude konfigurovat ->únos zařízení
Nebo se zařízení spáruje s konkrétním mobilem, ale potom při ztrátě/poškození mobilu bude potvora neřízená
Nebo se zase nevyhneme heslům atd. a budeme tam, kde jsme teď...
Už se těším na nový bezpečnostní průšvihy.
Myslím, že existuje lepší cesta. Pokud si koupíte zařízení, tak k němu dostanete nějakou formou certifikát a privátní klíč. Ideální by bylo na zalepené/zaplombované SD kartě nebo v obálce zkrývající maskováním QR kódu v nějakém standardním formátu.
Spíš to ale bude tak, že dostanete jen kód k přihlášení se do cloudové služby výrobce, přes kterou Vám pak bude certifikát vydaný, v horším případě si budete muset stáhnout nějaký instalační program, který komunikaci obstará. Pokud bude v binární podobě pro právě jeden systém, tak to bude potíž. Ale vzhledem k rozšíření Androidu bude pravděpodobně alespoň i pro telefony a tablety, protože ty pro mnoho lidí zcela nahradí osobní počítače.
A to je ten kamen urazu... Jak se ukazuje, nejvetsi problem pro vetsinu vyrobcu je prave to, ze by meli do kazdeho zarizeni flashnout jinej firmware, pripadne napajet cip s natvrdo zadratovanym klicem a certifikatem (pro kazdy zarizeni jinym). To uz pak ta seriova produkce ztraci hodne na sve vyhodnosti...
Ono obecně to celý slavný IoT je, z pohledu bezpečnosti, nejenom nedovařený, ale i nedopečený.
- S*re se to na sítě přístupný odkudkoliv (WiFi, LAN)
- Úvodní konfigurace kulhá, nejenom že to funguje s výchozím heslem, ale dokonce někde nejde změnit
- Standardní konfigurace navíc jede nešifrovaně po http, takže nekompatibilní s prohlížečama
- Potřebuje servery v čmoudu, protože IPv4 a NAT. Se vším, co k tomu patří (násobně větší traffic, závislost na serverech výrobce, cena,...)
- Kašle se na údržbu SW ze strany výrobce
Na bleepingcomputer (https://www.bleepingcomputer.com/news/technology/this-iot-dildo-has-an-embedded-wifi-streaming-camera-and-laughable-security/) testovali bezpečnost dilda s kamerou a připojením k wi-fi. No průser. Zjistili, že je tam děr jak nas..ných (hard-coded SSID i heslo) a že je bezpečnost nikdy nezajímala (stejně jako polovinu všech výrobců módních IoT). Dokonce neměli ani vlastní firmware, ten si půjčili z drona. Použili co potřebovali a zbytek funkcí nechali netknutě na místě. Nemám důvod věřit, že takový "profy inžeýring" je ojedinělá záležitost. Dokud bezpečnostní bublina kolem IoT nesplaskne a konečně se bezpečnost nezačne řešit, nesáhnu na ně ani klackem.
Takhle "profi engineering" se bohužel naprosto běžně dělá i u bezpečnostně kritických technologií (stačí prohledat zdejší články a zprávicky o katastrofálním "zabezpečení" lékařských přístrojů), takže ani několikametrovou izolovanou tyčí v rukavicích, atombordelu a gumovkách…
No ani ty s BT, co mají tydlifón jenom jako ovládání, nejsou to pravý ořechový... https://splinternews.com/this-sex-toy-tells-the-manufacturer-every-time-you-use-1793861000
Já bych to nebral tak tragicky. Čtu ten článek: For starters, the dildo comes with its own WiFi access point that uses the default "Siime Eye" network SSID and "88888888" password. This means an attacker in the device's WiFi range can install the mobile app and watch a live video stream and past video recordings and image snapshots. Podle mě je to feature pro zlepšení jůzr experience některých ajťáků.
A také čtu, že vibrátor obsahuje embedded outdoor game: Furthermore, because Siime Eye contains an embedded WiFi access point, an attacker could write a script that exploits these dildos automatically, and then war-drive through a city, hacking any nearby sex toys. To je vysoce trendy gamifikace, stejně jako kdysi geocaching. Zrovna čtenáři roota by to měli oslavovat i jako prosazování open data strategy, a mluvit o síle copyleftu. Kde je startup, který k tomu vypustí mapovou aplikaci? Navíc to aby se mladí ajťáci zvedli ze židlí a šli ven je přece veřejný zájem. Pokud se jim u toho podaří se spářit s uživatelkou nějakého video-vibrátoru, může to vést i k nárůstu průměrného IQ v populaci.