O πρώην ερευνητής ασφάλειας της Fujitsu Laboratories, Jesus Molina, συμμετείχε στο φετινό συνέδριο Black Hat Conference στο Las Vegas, περιγράφοντας στο ακροατήριό του τον τρόπο με τον οποίο κατάφερε να αποκτήσει τον έλεγχο 200 δωματίων πολυτελούς ξενοδοχείου της Κίνας.
Κατά τη παραμονή του στο ξενοδοχείο St.Regis, στη Shenzen, ο ανεξάρτητος πλέον ερευνητής, ανέλυσε το σύστημα του τηλεχειριστήριου που παρέχεται στους πελάτες για τον έλεγχο των διαφόρων λειτουργιών του δωματίου: για τη ρύθμιση του φωτισμού, της θερμοκρασίας, τη μουσικής, τον χειρισμό της τηλεόρασης, ακόμη και των παραθύρων.
Το τηλεχειριστήριο ήταν ένα iPad2, έτσι έπειτα από ανάλυση, ο Μοlina διαπίστωσε ότι το όλο σύστημα βασιζόταν στον πρωτόκολλο οικιακού αυτοματισμού KNX/IP, το οποίο περιείχε σημαντικές ευπάθειες.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Ο ερευνητής εντόπισε και αξιοποίησε τις συγκεκριμένες ευπάθειες, καταφέρνοντας να αποκτήσει τον έλεγχο των τηλεοράσεων και των υπολοίπων δωματίων, όπως και όλων των λειτουργιών που ρυθμίζονταν μέσω του τηλεχειριστηρίου.
Ο ερευνητής ανέφερε ότι ένας επιτιθέμενος θα μπορούσε να δημιουργήσει ένα trojan με σκοπό των έλεγχο των συστημάτων των δωματίων απομακρυσμένα, χωρίς να χρειάζεται να βρίσκεται στο ξενοδοχείο – θα μπορούσε να βρίσκεται και σε άλλη χώρα, τόνισε ο Molina.
“Η κρισιμότητα αυτών των τύπων κενών ασφάλειας δεν θα πρέπει να υποτιμηθεί – σκεφτείτε για παράδειγμα τη δημιουργία χαοτικής ατμόσφαιρας μέσω της αύξησης της θερμοκρασίας των δωματίων, τη νύχτα, με μοιραίες συνέπειες. Οι ξενοδόχοι θα πρέπει να κατανοήσουν τους κινδύνους αλλά και τις υποχρεώσεις στις οποίες εκτίθενται μέσω των ελαττωματικών συστήματων της ασφάλειας”, επισήμανε ο ερευνητής.
