هک کردن خانه‌های هوشمند ساده‌تر از تصورات

پس از بررسی‌های صورت ‌گرفته، کارمندان فنی شرکت Honeywell متوجه می‌شوند برنامه این ترموستات دست‌کاری و از طریق یک برنامه موبایل از راه دور مدیریت می‌شود. داستان از این قرار بود که این کاربر چند ماه پیش از همسرش جدا می‌شود و اکنون در همان خانه قبلی با نامزد جدیدش زندگی می‌کند. همسر سابق که روی گوشی موبایل خود برنامه مدیریت ترموستات وای‌فای را از قدیم داشته است، از سر انتقام‌جویی دست به تغییر برنامه این دستگاه هوشمند می‌زند. شرکت Honeywell دستگاه مورد نظر را دوباره پیکربندی می‌کند و با گذرواژه جدید در اختیار صاحب‌خانه قرار می‌دهد تا بتواند در خانه آرامش داشته باشد. 

کاربران گزارش‌های زیادی در اینترنت از تجربه‌های این‌چنینی کار با تجهیزات هوشمند جدید خانه‌ها می‌نویسند. مانند سیستم کنترل دمایی که خراب شده است و دمای خانه در زمستان تا 40 درجه بالا رفته و موجب نابود شدن همه‌چیز شده است؛ سیستم تشخیص اثر انگشتی که هک شده است و دزدان با خیال راحت وارد ساختمان شده‌اند؛ دوربین‌های امنیتی که در هوایی نامتعارف از کار افتاده‌اند و... . کولبی مور، مهندس امنیتی شرکت Synack که روی آسیب‌پذیری محصولات خانه‌های هوشمند کار می‌کند، می‌گوید: «بسیاری از این دستگاه‌ها ویژگی‌ها و انواع آسیب‌پذیری‌های ذاتی را دارند، مانند آن‌چه در سایت آمازون گزارش شده است. حتی فراتر از این ممکن است این ظرفیت را داشته باشند که تنظیمات کاربر را ریست یا پاک کنند که برای یک محصول مصرفی روزانه بسیار خطرناک است.» مور با صراحت می‌گوید: «درباره غالب این دستگاه‌ها باید گفت که می‌توانید آن‌ها را ریست‌ و تنظیم مجدد‌ یا سیستم احراز هویت آن‌ها را مخدوش و با خطا روبه‌رو کنید و بعد کنترل دستگاه را به‌دست بگیرید.»

مور دلیل این امر را این‌ طور مطرح می‌کند: «در بسیاری از این دستگاه‌های هوشمند شروع به استفاده از انواع فناوری‌های جدید شده است و سازندگان تصور می‌کنند آسیب‌پذیری‌ها را برطرف کرده‌اند، ولی این ‌طور نیست و نقاط کور زیادی وجود دارد که باید خود مصرف‌کننده آن‌ها را امن‌ کند.» برای مثال، بسیاری از مصرف‌کنندگان به فکر تغییر گذرواژه دستگاه‌های خانه هوشمند نیستند؛ زیرا نمی‌دانند روی این دستگاه‌ها نیز از فناوری‌هایی استفاده شده است که همانند کامپیوتر قابل هک شدن است. در ماه نوامبر سال گذشته، بیش از 73 هزار دوربین امنیتی متصل به اینترنت یافت شد که تصاویر را به‌طور مستقیم و آزاد روی اینترنت قرار می‌دادند. کاربران این دوربین‌ها اصلاً به فکر تغییر گذرواژه پیش‌فرض دوربین‌ها نبودند و بسیاری از آن‌ها با همان اطلاعات و تنظیمات اولیه کارخانه به اینترنت متصل شدند و این‌ گونه به هکرها اجازه می‌دهند فیلم‌ها و تصاویر خصوصی آن‌ها را روی وب مشاهده کنند. بسیاری از شرکت‌های فعال در حوزه اینترنت اشیا و دستگاه‌های خانه هوشمند به‌طور جدی دنبال امنیت هستند و برای امن‌ کردن بیش‌تر دستگاه‌ها تلاش می‌کنند.

به‌طور مثال، محصولات شرکت NEST به ترموستات متصل به اینترنت و دوربین‌های امنیتی Dropcam مجهز هستند تا به‌سختی بشود از بیرون خانه هک شوند. با این حال، بسیاری از محصولات رده پایین بازار که اتفاقاً به‌وفور یافت می‌شوند، فاقد امنیت لازم و مملو از آسیب‌پذیری‌های ناشناخته هستند. مور می‌گوید که بیش‌تر آسیب‌پذیری‌ها از این‌جا نشأت می‌گیرد که حافظه اصلی دستگاه به‌راحتی قابل خواندن از بیرون یا مخدوش کردن گذرواژه و همانند این‌ها است. بنابراین، فیلم‌های خصوصی روی اینترنت وجود دارند یا دوربین‌های امنیتی بدون اعتبارسنجی قابل کنترل هستند یا می‌توان دستگاه‌های هوشمند خانه را دست‌کاری کرد. مور نتیجه‌گیری می‌کند فضا به‌طور بالقوه برای هکرها مستعد است تا موجی از انواع حملات را علیه سیستم‌ها و دستگاه‌های هوشمند به‌راه اندازند و آن‌ها را در محدوده‌ای بزرگ توزیع و گسترش دهند. البته هنوز این‌ گونه حملات گزارش نشده است، ولی از نظر مور و دیگر محققان امنیتی شرکت Synack کاملاً محتمل است.

هکرها می‌توانند شروع به فروش دستگاه‌های هوشمند پیش‌پیکربندی در بازار سیاه کنند و بعد با کم‌ترین مهارت و اکسپلویت از آسیب‌پذیری‌های دیگر دستگاه‌ها استفاده کنند. مور می‌گوید تاکنون دیده یا شنیده‌ام که نشانی IP محلی دوربین‌های نظارتی درون یک پارکینگ، گاراژ، باغ و مانند این‌ها توسط هکرها جست‌وجو و اسکن شود تا براساس آن‌ها بتوانند الگو و برنامه کاری و زندگی اهالی خانه را کشف کنند و بفهمند چه زمان‌هایی خانه هستند و چه زمان‌هایی خانه را ترک می‌کنند. این اطلاعات به سرقت‌های هوشمندانه کمک می‌کند. روش دیگر، خراب کردن یا مشکل‌دار کردن دستگاهی مانند دوربین و نصب بدافزار و دست‌کاری آن در هنگام تعمیر است.

حتی هکرها می‌توانند دستگاه‌های هوشمند و دوربین‌های نظارتی را قبل از این‌که به دست کاربر برسد، خریداری و با نصب بدافزار دوباره بسته‌بندی کنند و در بازار بفروشند. مور و همکارانش این نوع حملات را آزمایش کردند. چند دوربین نظارتی معروف از بازار خریداری و با دست‌کاری و تغییر آن‌ها مشابه روز نخست بسته‌بندی کردند و در بازارهای آنلاینی مانند eBay به همکاران فروختند. نتیجه آزمایش این بود که تفاوت محصولات بسیار کم است و هیچ‌کس متوجه نخواهد شد.