Jaj de meglepő: most az egyik okosotthon-routerről derült ki, hogy hackelhető, dehát hé, úgyis csak az otthonunkról van szó. Már sokadszorra kiderül: rossz ötlet ez az okosotthon, de úgy tűnik az életnek tovább kell bizonyítania, hogy mindenki megértse.
"Kritikus sebezhetőség bukkant fel a TP-Link okosotthon-routerében"
Még az is kiderül, hogy mennyire fontos a gyártónak a "gyors reagálás" hisz az otthonunkról van szó, meg mennyire fontos nekik, hogy az elején még ne égjenek be és az emberek ne forduljanak el a terméküktől:
"A tetszőleges kódfuttatást engedő hibát a Google biztonsági szakértője találta meg, és jelezte a gyártónak - utóbbi viszont másfél hónap után sem javította azt."
"Kritikus, zero-day sebezhetőséget csípett el a TP-Link egyik routerében Matthew Garrett, a Google biztonsági szakértője: a gyártó SR20 routerében található sérülékenység tetszőleges kódfuttatást tesz lehetővé a potenciális támadók számára. A szakértő jelezte a hibát a TP-Link felé, a vállalat ugyanakkor ígérete ellenére 90 nap után sem lépett a hiba orvoslása felé, így a Garrett Twitteren nyilvánosan is beszámolt a sebezhetőségről."
"A szóban forgó SR20 modell egyébként nem mezei router, az egyben érintőkijelzővel felszerelt okosotthon-központként is funkcionál, és a megszokott 2,4, illetve 5 gigahertzes Wi-Fi mellett a Z-Wave és ZigBee szabványokat is támogat, amelyekkel egy sor okosotthon-kiegészítővel tud kommunikálni, amelyeket a felhasználók a cég mobilappján keresztül is vezérelhetnek."
Igen, nagyon fontos és biztonságos mobilappon keresztül irányítani az otthonunkat... nagyon.
"A routerben található sebezhetőség a gyártó több modelljében is alkalmazott, "tddp" (TP-Link Device Debug Protocol) folyamatban található, amely nevének megfelelően a debugging feladatokért felel, és amelyet a készülékek root jogosultságok mellett futtatnak. Ugyanebben a folyamatban biztonsági szakértők Garrett szerint már korábban is több sérülékenységet találtak. A tddp kétféle parancsvégrehajtásra képes, ezek egyikéhez pedig, mint kiderült, nincs szükség a felhasználó azonosítására. A sebezhetőség is ez utóbbira támaszkodik, egy megfelelően preparált konfigurációs fájllal lényegében teljesen átvehető a kontroll az adott hálózat fölött."
"Okossá" tenni szinte mindent otthon... ugyan mi baj lehet ebből?
Fontos az ügyfél, fontos a biztonság:
"A TP-Link továbbra sem reagált az ügy kapcsán, így nem tudni, elkezdett-e már dolgozni a sebezhetőség javításán. Az biztonsági rés publikálása után mindenesetre a vállalatnak jó lesz különösen tempósan orvosolnia a problémát."
Azért okosház, mert az anyagok amikből összerakták okosabb mint a benne lakók?
