Suomalaisen tietoturvayritys F-Securen löytämä älylukon suunnitteluvika on esimerkki siitä, miten vaikeaa uusien älykkäiden sekä turvallisten laitteiden kehittäminen on. F-Secure huijasi etäohjattavaa KeWE:n älylukkoa ja sieppasi sen salaisen tunnuslauseen lukon ja kännykän vaihtaessa tietojaan.
F-Securen onnistunut hyökkäys on yrityksen tutkijoiden mukaan jälleen yksi osoitus monista laitevalmistajien ja kuluttajien kohtaamista tietoturvahaasteista IoT-laitteiden vallatessa markkinoita.
F-Securen testaama lukko ei pysty edes vastaanottamaan laiteohjelmistopäivityksiä, mikä tarkoittaa, että vikaa ei voi korjata perusteellisesti.
’’Lukko on valitettavasti suunniteltu siten, että näiden mekanismien ohittaminen ja lukon ja sovelluksen välisten viestien kuunteleminen on kohtuullisen helppoa – lukon saa siis auki suhteellisen yksinkertaisella hyökkäyksellä’’, sanoo kyberturvallisuuskonsultti Krzysztof Marciniak F-Securen tiedotteessa.
Hän huomauttaa, että tietoturva toimii vain, kun se toteutetaan asianmukaisesti. Tätä faktaa IoT-laitevalmistajat eivät saa unohtaa. Laitevalmistajille hän suosittelee tuotteiden tietoturva-arviointia osana niiden suunnittelutyötä.
”Tietoturvaa ei voi toteuttaa yhtenä, jokaiseen tarkoitukseen soveltuvana pakettiratkaisuna. Se on räätälöitävä käyttäjän, ympäristön, uhkamallin ja monien muiden tekijöiden mukaan. Tämä ei ole helppoa, mutta jos IoT-laitevalmistajat toimittavat tuotteita, jotka eivät voi vastaanottaa päivityksiä, ne täytyy rakentaa alusta lähtien turvallisiksi, Marciniak kertoo.
Lisää: Lue F-Securen Marciniakin blogiraportti älylukon kaappauksesta (LINKKI) ja käytännön toimintaohjeet suojaamisesta (LINKKI).
Kuva: F-Secure