Перейти к материалам
Я хочу поддержать «Медузу»
истории

Как взломать дисплей и термостат Начинка «умного дома» и обычный компьютерный монитор: новые киберугрозы

Источник: Meduza
Фото: Ann Hermes / The Christian Science Monitor / Getty Images

В Лас-Вегасе прошла конференция специалистов по компьютерной безопасности Def Con, известная как крупнейший и старейший съезд хакеров. Помимо прочего, на Def Con были представлены доклады о двух нераспространенных, но крайне опасных видах взлома — о манипуляции изображением на мониторе и «захвате в заложники» системы домашнего климат-контроля. «Медуза» рассказывает о каждом из них. 

Взломанные пиксели

Основатели компании по компьютерной безопасности Red Balloon Security Энг Куи и Джейтин Катария представили на Def Con доклад об уязвимости обычных компьютерных дисплеев. Исследователи заинтересовались доступом к прошивке мониторов Dell и выяснили, что при определенных усилиях ее можно взломать и заменить на вредоносное ПО, которое будет контролировать изображение на мониторе. На Def Con Куи и Катария продемонстрировали взлом монитора Dell U2410 и на глазах публики заменили данные о состоянии счета электронного кошелька PayPal, заменив пиксели на экране таким образом, что вместе нуля долларов отобразился один миллион. 

Уязвимость позволяет, к примеру, разместить какие-нибудь изображение на весь монитор и требовать деньги за возвращение устройства в прежнее состояние. Получив доступ к прошивке монитора, можно также незаметно следить за пользователем. Проникнуть в прошивку можно через HDMI-порт монитора или через USB. Сведений о реальном применении уязвимости в преступных целях пока нет. На ее поиск у Куи и Катарии ушло два года, и они отмечают, что технически реализовать ее сложно. 

По мнению исследователей, уязвимости подвержены и мониторы других фирм, в том числе Samsung, Acer и HP, но они их взломом не занимались. Код эксплоита для Dell авторы доклада разместили на GitHub с целью привлечения внимания к безопасности прошивок мониторов. «Теперь мы можем взламывать мониторы, и вам не стоит слепо верить в те пиксели, которые вы видите на экране», — заявил в беседе с Motherboard Энг Куи. По его словам, теоретически с помощью уязвимости, можно смоделировать чрезвычайную ситуацию на электростанции и заставить служащего остановить ее работу. 

«Умный дом» в заложниках 

Британские исследователи Эндрю Тирни и Кен Манро из компании Pen Test Partners представили на Def Con первую в мире, как они утверждают, «программу-шантажиста» для «умного» термостата. Что именно за термостат исследователям удалось взломать, не сообщается — они открыли уязвимость за несколько дней до Def Con и еще не успели рассказать о ней производителю устройства. Взломанный термостат работает на Linux и, как оказалось, не проверяет, какие именно файлы он запускает. У термостата большой дисплей; в случае, если его владелец захочет установить на него, к примеру, новую картинку (такая функция у устройства есть), то файл с изображением можно заменить на вредоносное ПО. 

Вредоносные программы, требующие выкуп за доступ к компьютеру и сохраненной на нем информации, достаточно распространены и представляют серьезную угрозу. Даже в ФБР признаются, что иногда лучше заплатить выкуп, потому что иного способа восстановить работу устройства может и не существовать, хотя в официальной памятке спецслужбы говорится, что идти на сотрудничество со злоумышленниками не стоит. Известны случаи, когда выкуп платили американские правоохранительные органы и больницы — и не всегда получали доступ к данным обратно. 

Шутки про взломанный «умный» термостат, который установит в доме невыносимо высокую температуру и будет требовать выкуп, ходят не первый год, но у Тирни и Манро удалось их воспроизвести в действительности. Исследователи смогли заблокировать термостат таким образом, что он не дает владельцу изменить температуру. Тирни и Манро отмечают, что воспроизвести взлом достаточно сложно — для успешного использования уязвимости нужно заставить владельца устройства совершить множество действий. Тем не менее, их работа демонстрирует тот факт, что различные компоненты «умного дома» можно взломать в преступных целях. 

Исследователи не первый раз находят уязвимости в бытовых приборах — в прошлом году Кен Манро доказывал возможность кражи данных аккаунта Gmail через программное обеспечение «умного» холодильника Samsung.