8 октября 2013

Взлом… туалета

Новости

Смело добавляйте туалет во все пополняющийся список бытовой техники, которую можно взломать.

По правде говоря, эта тема была освещена в одном из докладов хакерской конференции Black Hat, но тогда были новости поважнее, поэтому я сделал себе заметку вернуться к этому попозже.

Взлом туалета по bluetooth

Группа исследователей из Trustwave, компании занимающейся безопасностью приложений, выпустила предупреждение о безопасности для пользователей «умных туалетов» SATIS. По их словам, Android-приложение для управления умным сливным бачком содержало жестко зафиксированный PIN-код Bluetooth, установленный к тому же в жутко неочевидную комбинацию 0000. Зная этот военный секрет, атакующему не составит никакого труда дистанционно (в радиусе действия Bluetooth) управлять функциями туалета. Для этого не потребуются никакие хакерские инструменты — любой Android-смартфон с установленным фирменным приложением SATIS будет успешно управлять всеми бачками в радиусе досягаемости.

В общем, владельцы «умных туалетов» подвергают себя риску неприятных розыгрышей и досадных инцидентов по неосторожности.

Конечно, это не машина и не инсулиновая помпа, но порча туалета в доме является крайне неприятным инцидентом.

Атакующий, если у него возникнет такое желание, может через приложение My Satis инициировать несколько атак — от малозаметных до крайне удручающих. Например, по словам Trustwave, он может «заставить туалет постоянно смывать унитаз, повышая использование воды и коммунальные счета жертвы». Также можно заставить унитаз постоянно открывать и закрывать крышку и даже активировать встроенную сушилку, «принося стресс и дискомфорт пользователю», не могу не процитировать Trustware.

Конечно, это не машина и не инсулиновая помпа, но порча туалета в доме является крайне неприятным инцидентом.

Я не уверен, что посоветовать в качестве защиты. Ошибка пока не исправлена, и, быть может, ее очень трудно исправить. Можно засыпать производителя, LIXIL, тоннами электронных писем, требуя залатать дырку. А можно выключить Bluetooth на своем любимом унитазе, хотя, стоит посмотреть правде в глаза, зачем нужен «умный унитаз», если им нельзя управлять с мобильного устройства?

Единственное, чем можно утешиться, — в отличие от угона денег с банковской карты или опустошения счета у мобильного оператора при помощи Android-троянца, во взломе туалета нет коммерческой выгоды. Поэтому, кроме тупых шутников, никому эта уязвимость не поможет. Смиритесь с тем, что смыть ваш туалет можно с любого Android-устройства в округе, и надейтесь, что в радиусе действия Bluetooth хулиганов hi-tech мало.