EZCast jest wtyczką, podłączaną do portu HDMI, która pozwala na połączenie z Internetem i innymi mediami. Można ją kontrolować za pomocą smartfona lub PC. Możliwe jest również połączenie telewizora i komputera w celu oglądania i przenoszenia filmów, zdjęć oraz plików. Innymi słowy zmienia zwykły telewizor w Smart TV.
Jak się okazuje, kosztujące około 120 zł, urządzenie pełne jest luk w zabezpieczeniach. Badacze firmy Check Point wykryli podatność EZCast na początku bieżącego roku. Jak zapewniają, komunikowali się z producentem EZCast kilkukrotnie aby ich ostrzec, jednakże do dziś żadne aktualizacje czy odpowiedzi nie zostały opublikowane.
Ponieważ urządzenie działa we własnej sieci Wi-Fi, dołączenie do niej jest stosunkowo proste. Sieć jest chroniona tylko przez ośmiocyfrowe hasło, które może być łatwo złamane. Firma Check Point przeprowadziła udany atak brute-force, który pozwolił na pełny, nieautoryzowany dostęp do urządzenia.
Badacze Check Point wykryli, że łatwo jest zyskać dodatkowy dostęp do sieci używając technik socjotechnicznych. Atakujący może wysłać użytkownikowi linka poprzez większość serwisów komunikacyjnych takich jak email, Facebook czy Skype.
Dlaczego powinniśmy się martwić?
Internet Rzeczy (Internet of Things) obraca się wokół komunikacji pomiędzy maszynami i rozwija się w postępie geometrycznym. Brzmi jak świetny pomysł, dzięki któremu możemy się błyskawicznie łączyć z Internetem, jednak większość klientów nie do końca rozumie potencjalnych zagrożeń za nim stojących.
Wszystko to, co przechowujesz w swojej domowej sieci jest ogólnie dostępne. Mogą to być dokumenty podatkowe, bankowe, dane kart kredytowych, dane medyczne. Może dojść do kradzieży tożsamości.
Urządzenie EZCast z pewnością nie zostało zaprojektowane z myślą o bezpieczeństwie. Firma Check Point wykryła szereg krytycznych luk, a jak twierdzi, wykonywała jedynie podstawowe testy.
Bezpieczeństwo Internetu Rzeczy powinno zostać podwyższone do poziomu, którego wymagamy od zabezpieczeń komputerów. Jako badacze możemy zwiększyć bezpieczeństwo Internetu Rzeczy poprzez zgłaszanie podatności producentom. Producenci urządzeń powinni być świadomi kwestii bezpieczeństwa danych już na etapie projektowania.
