Video: If Everything Was Like Among Us (Listopad 2024)
Během pobytu v St. Regis v Shenzhenu v Číně, Ježíš Molina, nezávislý bezpečnostní konzultant a bývalý předseda Trusted Computing Group, úspěšně prolomil ovládání 200 pokojů v luxusním hotelu.
Hotel nabízí iPad v každé z pokojů, což mimo jiné umožňuje hostům ovládat světla a žaluzie. Molina v pátek popsala účastníkům Black Hat, jak byl zvědavý na automatizační systém používaný iPadem. Molina si všimla, že pro komunikaci se svítidly a dalšími předměty používá hotelovou internetovou službu pro hosty. Příkazy automatizace používaly protokol KNX / IP, dvousetletý starý protokol bez nastavení zabezpečení. I když existuje novější verze KNX / IP, která má zabudovaná některá nastavení zabezpečení, většina uživatelů se neaktualizovala.
Jak nejistě mluvíme? Molina zjistila, že pokud vzal IP adresu jednoho zařízení a právě změnil poslední číslici, měl přístup k jinému zařízení v místnosti. Napsal skript, který mapoval IP adresy světel a žaluzií ve 200 různých místnostech. Aby mohl doladit mapu své hotelové sítě, musel požádat recepci, aby čtyřikrát přepnul pokoj.
Molina předvedla video o sobě probíhajících testech a dálkovém rozsvícení světel v místnostech.
Molina informovala Starwood Group, hotelový řetězec, který vlastní St Regis, a informovala je o chybě. Starwood spolupracoval a rychle opravil vadu, takže všechny jeho hotely využívající tento systém již nejsou zranitelné.
KNX / IP je však standardem pro automatizaci hotelových zařízení v Číně a je také široce implementován v Evropě. To je spousta hotelů používajících starší, nejistý protokol. Molina poznamenala, že zatímco KNX / IP má být standard, dokumentace vysvětlující, jak ji používat, stojí více než tisíc dolarů. To znamená, že hotel, který není podobný Starwood a používá podobný automatizační systém, může být stále zranitelný.
