Полгода назад Cnews сообщил о начале партнерства МТС с "умной" техникой Redmond, которой возможно управлять дистанционно. Даже дети знают, что нельзя оставлять пожароопасные предметы без присмотра, но видимо вырастая забывают. Продуктов у Redmond целый ряд (частично на Android 4.3):
- Чайник.
- Мультиварка.
- Кофеварка.
- Мультикухня.
- Утюг.
- Умная розетка и др.
Управляется техника через канал Bluetooth 4.0 (в рамках квартиры) или через промежуточный хаб, которым выступает смартфон Redmond Gateway МТС (Alcatel One Touch PIXI 3, Android 4.4) и телематической SIM картой (по умолчанию звонки и SMS отключены, но их можно включить). В виде пульта выступает приложение Ready for Sky.
Теоретический (но очевидный) вариант киберподжога необходимо проверить - понять, какие векторы атак могут быть на наш утюг или другой пожароопасный предмет.
- Бодун. Бодун пожалуй самый опасный вектор атаки. С бодуна можно не туда деньги отправить, не то что перепутать кнопки в приложении. А удаленно запах дыма и треск пламени уже не почуствовать...
- Разработчик. Один косяк разработчика после обновления может привести сразу к нескольким пожарам.
- "Человек посредине" в Bluetooth канале. По умолчанию мы видим поддержку Bluetooth 4.0 где подумали о ИБ, но наученные горьким опытом аутентификации в Windows-сетях мы знаем, что если устройство на той стороне будет поддерживать стандарт версией ниже то вероятно весь канал будет работать на протоколе ниже. А там уже все не так здорово..
- "Человек посредине" в телематическом канале - 4G и 3G защищены относительно неплохо, но есть вероятность работы смартфона в режиме 2G.
- Атака на Redmond Gateway - Android 4.4 априори подвержен нашумевшей уязвимости обработки MMS сервисом Android Stagefright. Нужно только подключить получение MMS на телематической карте.
- Атака на смартфон владельца техники. Увы, фрагментированность Android-платформы оставляет под угрозой пратически всех кроме владельцев линейки Nexus. Черт с ним, с мобильным банком - антифрод может заблокировать перевод, платеж возможно оспорить. Как я оспорю сгоревшую квартиру? А весь дом?..
Очень надеюсь, что перечисленные риски оторваны от реальности и угрозы человеческим жизням нет (например, есть компенсирующие контроли о которых я не знаю). С другой стороны в Google Play уже 644 оценки (клиента), в том числе комментарии вида "приложение очень сырое" и 107 оценок в единицу. Я бы поостерегся доверять сырому приложению пожарную безопасность своего жилища.
P.S. Предвосхищая вопрос - кому это нужно - устраивать киберподжоги? Отвечу - стихийным силам и ошибкам, киллерам, конкурентам (сорвем важную встречу, выведем руководителя на время из строя), страховым мошенникам да даже риелторам;)
Комментариев нет:
Отправить комментарий