Удаленный доступ к "умной" гирлянде открывает для злоумышленника потенциальный вектор для несанкционированного управления IoT-устройством, объясняет Владимир Мартышин, эксперт Лаборатории практического анализа защищенности компании "Инфосистемы Джет". "Как правило, производители подобных устройств не уделяют внимание их безопасности, так как возникает вопрос: "А что тут защищать?". Уязвимости в процессе аутентификации между мобильным приложением и гирляндой, такие как незашифрованный канал связи, использование неизменяемых логинов и паролей, позволяют злоумышленнику провести анализ механизма управления гирляндой и придумать сценарии взлома", - добавляет он.
"Серьезные исследования на тему взлома новогодних елок проводились в 2018 году с самыми популярными итальянскими гирляндами Twinkly, - говорит Эльвина Насибулина, аналитик-исследователь цифровых продуктов Роскачества. - Тогда исследователи обнаружили десятки тысяч таких устройств, доступных для удаленного сканирования через хакерский поисковик Shodan. При этом умные гирлянды (как и вообще большинство потребительских умных устройств) по умолчанию практически не были защищены, что значительно облегчает работу хакерам".
По ее словам, при соответствующей подготовке хакеры могут совершить удаленную атаку (даже на несколько елок одновременно), заставить гирлянду удаленно мигать в меру своей фантазии. "На упомянутых гирляндах Twinkly, где можно отдельно удаленно контролировать каждый диод, исследователи, например, заставили воспроизводиться игру "Змейка", а затем демонстрировалась надпись "Hack the Planet!" - отмечает эксперт.
"Хотя особенного вреда в данном конкретном случае быть не может, но если хакеры завладеют другими умными устройствами (например, выпрямителем для волос), это может потенциально привести к пожароопасной ситуации, поэтому рекомендуется выключать умные устройства из розетки, когда вы не дома", - предупреждает Насибулина.