понедельник, 18 апреля 2016 г.

Киберподжоги в IoT или МТС с Redmond повышают риск пожаров?

    Полгода назад Cnews сообщил о начале партнерства МТС с "умной" техникой Redmond, которой возможно управлять дистанционно. Даже дети знают, что нельзя оставлять пожароопасные предметы без присмотра, но видимо вырастая забывают. Продуктов у Redmond целый ряд (частично на Android 4.3):
  • Чайник.
  • Мультиварка.
  • Кофеварка.
  • Мультикухня.
  • Утюг.
  • Умная розетка и др.
    Управляется техника через канал Bluetooth 4.0 (в рамках квартиры) или через промежуточный хаб, которым выступает смартфон Redmond Gateway МТС (Alcatel One Touch PIXI 3, Android 4.4) и телематической SIM картой (по умолчанию звонки и SMS отключены, но их можно включить). В виде пульта выступает приложение Ready for Sky.
    Теоретический (но очевидный) вариант киберподжога необходимо проверить - понять, какие векторы атак могут быть на наш утюг или другой пожароопасный предмет.
  1. Бодун. Бодун пожалуй самый опасный вектор атаки. С бодуна можно не туда деньги отправить, не то что перепутать кнопки в приложении. А удаленно запах дыма и треск пламени уже не почуствовать...
  2. Разработчик. Один косяк разработчика после обновления может привести сразу к нескольким пожарам.
  3. "Человек посредине" в Bluetooth канале. По умолчанию мы видим поддержку Bluetooth 4.0  где подумали о ИБ, но наученные горьким опытом аутентификации в Windows-сетях мы знаем, что если устройство на той стороне будет поддерживать стандарт версией ниже то вероятно весь канал будет работать на протоколе ниже. А там уже все не так здорово..
  4. "Человек посредине" в телематическом канале - 4G и 3G защищены относительно неплохо, но есть вероятность работы смартфона в режиме 2G.
  5. Атака на Redmond Gateway - Android 4.4 априори подвержен нашумевшей уязвимости обработки MMS сервисом Android Stagefright. Нужно только подключить получение MMS на телематической карте.
  6. Атака на смартфон владельца техники. Увы, фрагментированность Android-платформы оставляет под угрозой пратически всех кроме владельцев линейки Nexus. Черт с ним, с мобильным банком - антифрод может заблокировать перевод, платеж возможно оспорить. Как я оспорю сгоревшую квартиру? А весь дом?..
    Очень надеюсь, что перечисленные риски оторваны от реальности и угрозы человеческим жизням нет (например, есть компенсирующие контроли о которых я не знаю). С другой стороны в Google Play уже 644 оценки (клиента), в том числе комментарии вида "приложение очень сырое" и 107 оценок в единицу. Я бы поостерегся доверять сырому приложению пожарную безопасность своего жилища.

P.S. Предвосхищая вопрос - кому это нужно - устраивать киберподжоги? Отвечу - стихийным силам и ошибкам, киллерам, конкурентам (сорвем важную встречу, выведем руководителя на время из строя), страховым мошенникам да даже риелторам;)
    

Комментариев нет:

Отправить комментарий