608 436 941

Bezpečnost mobilních zařízení a internet věcí

Autor: Jaroslav Salcer | Zveřejněno: 5. března 2022 | 4x

Přesto, že můžeme téměř každý týden číst o tom, jak některá firma byla hackersky napadena, jak někomu hackeři vybrali peníze z platební karty, co všechno bylo kde zavirováno počítačovými viry, mnozí si myslí, že se jich to netýká. Kolik lidí má na svém chytrém telefonu dodnes heslo 1234 nebo 0000 a to i přesto, že telefonem platí v supermarketech nebo v nich mají spoustu citlivých osobních informací? Mobil zaheslujte a nepůjčujte ho nikomu. To je to nejmenší, co můžete pro bezpečnost udělat. 

Velkým nebezpečím se stávají i podvržené e-maily nebo SMS zprávy typu “váš bankovní účet byl napaden, klikněte zde a zadejde vaše údaje pro opětovné zprovoznění účtu”. Nikam neklikat. Žádná banka nikoho nikdy nežádá SMS zprávou o nějaká hesla či další platební údaje.

Ale situace je mnohem horší a nejde pouze jen o mobilní telefony. Jistý etický hacker (člověk co testuje počítačovou bezpečnost tím, že se úmyslně pokouší prolomit zabezpečení různých zařízení a pomáhá tak výrobcům ji zlepšit) na konferenci FOCUS v Las Vegas předvedl bezdrátový útok na dávkovače inzulínu. S pomocí výkonné antény dokázal převzít kontrolu nad různými dávkovači, které mají pacienti zabudované v těle, a to aniž by o nich cokoliv věděl dokonce ani sériové číslo či výrobce. Opakovaně dokázal přimět dávkovače, aby uvolnily maximální dávku 25 jednotek. A to až do okamžiku, kdy se vyprázdnil celý zásobník na 300 jednotek. To je mimochodem pro pacienta několikanásobek smrtelné dávky. 

Dokázal napadnout také kardiostimulátor. Ve zprávě na svém blogu tvrdil, že dokázal překonfigurovat kardiostimulátor tak, aby dal svému majiteli smrtelnou ránu 830 voltů. Zároveň tvrdil, že celý útok je mnohem jednodušší, než jak bylo prezentováno v televizi. U těchto zařízení jako je dávkovač inzulinu nebo kardiostimulátor se totiž automaticky předpokládá, že nebudou počítačově napadeni, kdo by to prováděl, že. Jsou navrženy tak, aby je mohli jednoduše ovládat lékaři a tím to končí. Pokud se na tyto přístroje zaměří hackeři, mohlo by to dopadnou fatálně. 

Brýle Google Glass slibovaly přinést skutečnou revoluci, protože posouvaly rozšířenou realitu blíže ke každodennímu používání. Zatím je má k dispozici jen limitovaný počet výzkumníků a nadšenců. Jeden z nich ovšem objevil způsob, jak lze tyto brýle „hacknout“. Či přesněji: několik způsobů, protože na bezpečnost evidentně výrobce při tvorbě aplikace příliš nedbal. Google Glass se tak mohou stát silným špionážním nástrojem: mohou sledovat pohyb majitele stejně jako jeho úkony (zadávání PINů, přístupových kódů ke dveřím, počítačových hesel...), dokážou sledovat okolí nebo mohou majiteli zobrazovat podvržené informace. Dobrou zprávou budiž konstatování, že útočník potřebuje pro hacknutí Google Glass fyzický přístup. Zatím. Tedy alespoň do doby, než někdo dříve či později objeví způsob, jak útok provést vzdáleně.

Stále častěji také čteme o internetu věcí. Jedná se o běžné spotřebiče, které mají ovšem jedno společné. Mají software a jsou trvale připojeny k internetu. Jmenuji namátkou žárovku, kterou lze ovládat mobilem či hlasem, měnit barvy, intenzitu svícení, a programovat, kdy se má rozsvítit a kdy zhasnout. Pračku, která vám dá na mobil vědět, že právě doprala. Televizi, která má internet a lze ji ovládat nejen hlasem. Ledničku, která vám řekne, co v ní chybí a kde to máte jít koupit dle aktuálních slevových letáků. Stále populárnější jsou také chytré reproduktory, které vám zahrají oblíbený playlist po příchodu z práce a zeptají se vás, jestli chcete slyšet novinku od oblíbeného interpreta.

V roce 2021 bylo na světě přes třiceti miliard (!) zařízení připojených k internetu. Jen pro srovnání: v roce 2009 to bylo 2,5 miliardy připojených zařízení – zpravidla mobilů, tabletů nebo počítačů. S tímto masovým připojením věcí k internetu se objeví zcela nové bezpečnostní výzvy: čekají nás zavirované ledničky, chytré reproduktory, hacknuté televizory, obelstěná čidla... Fantazii se meze nekladou.

Co to tedy znamená? Všechny tyto “věci” vás neustále poslouchají, čekají na váš povel, kamery na chytrých televizích sledují místnost a čekají na pohybové gesto, aby se mohla televize například zapnout. Robotický vysavač s wifi a GPSkou zná rozměry místností a vašeho celého bytu. Do mobilu vám odesílá, kterou místnost právě uklidil. Pokud veškerá data zůstávají v daných zařízeních, je to ok. Pokud je dané zařízení takzvaně “hacknuté”, tak se data mohou na povel hackera někam odesílat. To už je vážné, protože toto zařízení může ovládat cizí osoba a tím třeba sledovat vás, vaši činnost doma, nahrávat obraz a zvuky ve vašem bytě atd…možností je mnoho.

Minimum, co každý může udělat pro bezpečnost internetové domácnosti, je mít silné heslo. Chybou je, mít jedno heslo na všechno. Stejné heslo pro odemykání mobilu, heslo k bance, k e-mailům, aplikacím nebo zákaznickým účtům není dobrý nápad. Všimli jste si, že v supermarketech u kasy jsou kamery. Zadávejte tedy pin k platební kartě tak, aby vám nebylo vidět na prsty. U monitorů těchto kamer většinou někdo sedí a sleduje pohyb v supermarketu. Co když si ten někdo ten váš pin, který viděla kamera u kasy, třeba zapsal. Pak už by teoreticky stačilo, ukradnout tašku s vaší kartou a může si vybrat z vašeho bankomatu. 

Rozhodně se vyplatí aktualizovat softwary jak mobilních, tak domácích zařízení, protože výrobci většinou v aktualizacích opravují i bezpečnost daného softwaru. Opatrnosti není nikdy dost. Chovejte se ke všemu co je napojeno na internet s opatrností, protože nepřítel stále naslouchá.