ビデオ: How to set up your Nest Wifi (九月 2024)
Nestスマートサーモスタットのセキュリティへの影響について話してください。ほとんどの人はおそらく肩をすくめるでしょう。 彼らは、サーモスタットがあなたのお金にアクセスできないか、あなたの家を焼き払うことができないので、攻撃者がそれを気にしないと仮定します。 今年のBlack Hatでは、発表者のYier Jin、Grant Hernandez、およびDaniel Buentelloが、サーモスタットには非常に多くのことができることを示しました。
Nestにはセキュリティが組み込まれているため、プレゼンターは会社の仕事にNestのクレジットを与えることを強調しました。 「非常にうまく設計されているので、彼らの仕事を称賛すべきです」とジンは言いました。 彼はすぐにチームの仕事を推し進めました。「私たちの分析に基づいて、ハードウェアバックドアを見つけ出しました。このバックドアを介して、デバイス全体をリモートコントロールできます。」
巣を壊す
デモでは、チームはUSB経由でNestにアクセスし、約15秒でルート化しました。 彼らの攻撃は、Nestが意図的にデバイスに残したデバッグシステムに依存していました。 発表者は、これは実際に組み込み機器メーカーにとって一般的な慣行であると指摘しました。
Nestの物理ボタンが10秒間押されると、デバイスが再起動します。 しかし、ほんの一瞬、起動方法に関する新しい指示を受け取ることができます。 チームは、Nestに直接接続されたときにNestのソフトウェアを作り直し、完全にリモートコントロールできるカスタムツールを作成しました。
彼らの攻撃には物理的なアクセスが必要ですが、その実行速度は驚くべきものでした。 攻撃者は、所有者がしばらく部屋から出たときにネストのコントロールを奪う可能性があります。 また、攻撃者はNestデバイスを購入し、感染させてから、再販される店舗に送り返すことができると指摘しました。
そして、Nestからの更新が役立つとは思わない。研究者は、感染したデバイスがファームウェアの更新からファイルを隠す方法を開発したと述べた。 軽いメモで、発表者は、ネストの退屈な外観をアニメーションの背景に置き換えることができることも示しました。
何が問題か
Nestの重要な機能の1つ(実際、そのセールスポイント)は、冷暖房の好みを学習することです。 この情報を使用して、家の温度を最適化し、ニーズを満たし、お金を節約します。 しかし、発表者は、これが攻撃者にあなたの習慣に関する多くの情報を与えると指摘します。 たとえば、侵害されたネストは、あなたが家を出ているとき、または休暇中にいることを知っています。 この情報は、将来のデジタル攻撃、または単に強盗に使用される可能性があります。
ネストは、ネットワーク資格情報とそのおおよその場所も知っています。 しかし、破損したNestの最も厄介な使用は、他の攻撃の足がかりになるでしょう。 Buentelloは、誰かの家で感染したNestを制御できた場合、「あなたのトラフィックをすべてトンネリングし、見つけられるものを探そうとするだろう」と言いました。 これには、パスワード、クレジットカード番号、その他の貴重な情報が含まれます。
彼らのプレゼンテーションが怖かったように、Nestサーモスタットに物理的にアクセスすることを攻撃者に要求しました。 しかし、研究者は聴衆に、Nest Weaveのようなデバイスのソフトウェアプロトコルの調査に熱心であることを保証しました。
しかし、最悪の事態は、被害者が自分が感染したことを伝える方法がないということです。 結局のところ、サーモスタットにアンチウイルスをロードすることはできません。
プライバシー
ネストのハッキングは非常に楽しいデモンストレーションでしたが、発表者は主にプライバシーを心配していました。 彼らは、Nestユーザーはデータ収集をオプトアウトできないことを指摘しました。 Nestデバイスは、私たちが考えている以上のものである可能性もあります。 「なぜサーモスタットに2ギガバイトが必要なのか」とBuentelloが尋ねました。 「何してるの?」
研究者は、USBバックドアを含めるというNestの決定に批判的でしたが、Nestがユーザーデータを収集するのを防ぐためにプライバシーを重視する個人が実際に使用できることを指摘しています。 彼らの研究グループの4番目のメンバーは、チームが発見した脆弱性を利用するカスタムファームウェアの更新に懸命に取り組んでいます。 それらのカスタムパッチは、ネストがデータを収集しないようにしますが、無線更新を受信した場合でも、ネストが正常に機能できるようにします。
IOTデバイスのポスターの子としてのNestのステータスのため、チームは聴衆に興味深い質問を投げかけました。彼らはNestを自宅で使い続けますか? 研究者によると、私たちがとる行動、および組み込みデバイスに許容できると判断したものに関する決定は、今後30年間の基準を設定する可能性があるという。
賢明に選択してください。