מכשירים אלקטרוניים חכמים המחוברים לאינטרנט הפכו לחלק בלתי נפרד מהחיים שלנו. כבר מזמן לא מדובר רק על מחשבים וטלפונים חכמים – מקררים, מכונות כביסה, מכוניות ואפילו קולרים של מים. המון מכשירים תלויים בפעילותם בחיבור לאינטרנט, מה שמהווה פתח למתקפות סייבר, חדירה לפרטיות וזליגת נתונים (שלא לדבר על באגים מעצבנים שמונעים פעילות תקינה של מכשיר פשוט).
הכוכבים האחרונים בתחום הם מכשירי אינטרקום של חברה סינית פופולרית בשם Akuvox. המכשירים, מדגם E11, מלאים בחולשות אבטחה, כולל באג קריטי המאפשר הרצת קוד לא מאושרת מרחוק (remote code execution).
הבאג הזה עלול לאפשר לגורמים עוינים גישה לרשת הפנימית של ארגון המשתמש במכשיר. האקרים יכולים לגנוב תמונות או סרטונים שצולמו על ידי האינטרקום, לשלוט במצלמה ובמיקרופון ואפילו לנעול ולפתוח דלתות.
חולשות האבטחה התגלו על ידי חברת האבטחה Team82, שעברה למשרדים בהם מכשירי ה-E11 היו מותקנים. אנשי החברה הסתקרנו לגבי מכשירי האינטרקום – בחקירתם הם איתרו 13 חולשות אבטחה – המאפשרות בין היתר, אפשרות להרצת קוד ברשת המקומית והפעלה מרחוק של מצלמת המכשיר והמיקרופון. וקטור תקיפה נוסף מאפשר להאקרים להשתמש ב-FTP כדי להוריד תמונות ומידע ששמורים על שרתי החברה.
הבאג הקריטי והחמור מכולם, מאפשר לתוקפים גישה לשרת הווב של E11, בלי אימות. כך, תוקפים יכולים לקבל גישה קלה למידע רגיש. עוד באג מעניין נמצא באפליקציה השולטת במכשיר – חולשת האבטחה הספציפית הזו מאפשרת, עקרונית, לכל מי שיש לו את האפליקציה, להתחבר לכל מכשיר E11, גם כאלה שמוגנים מאחורי פיירוול.
חולשות האבטחה החמורות האלה התגלו מזמן, אולם החברה הסינית לא טרחה לתקן אותן ולא הגיבה לכל ניסיונותיה של חברת האבטחה שגילתה את החולשות ליצור עמה קשר. ההמלצה לארגונים היא לנתק את מכשירי ה-E11 מהאינטרנט עד שיתוקנו הפרצות, או לכל הפחות לוודא שהמכשירים לא יכולים לצלם ולהקליט מידע רגיש. בנוסף, מוצע למי שמשתמש במכשיר לבודד אותו משאר הרשת הארגונית (סגמנטציה), ולצמצם את אפשרויות התקשורת שלו עם שאר הרשת.
זה בוודאי לא יהיה הסיפור האחרון על חולשות אבטחה במכשירי האינטרנט של הדברים (IoT – או Internet of Things). מעריכים כי 17.7 מיליארד מכשירים כאלה היו מחוברים לאינטרנט ב-2020, וכי מספרם צפוי לזנק לכ-36.8 מיליארד עד שנת 2025.
