Jsou Tuya Smart zařízení (ne)bezpečná?
Chytrá zařízení připojená na internet se začínají stávat běžnou součástí našich domácností. Jak je to ale s jejich bezpečností? V následujícím článku se podíváme na zabezpečení jedné z nejpoužívanějších aplikací pro ovládání smart zařízení – Tuya.
Co je aplikace Tuya Smart a k čemu slouží?
Tuya Smart je jedna z nejpoužívanějších mobilních aplikací na ovládání chytrých (smart) zařízení na světě. Různorodost podporovaných zařízení je opravdu široká, jedná se například o chytré termostaty, zásuvky, kamery, vypínače, žárovky, detektory kouře, pohybu nebo zaplavení. Tato chytrá zařízení se též označují zkratkou IoT – Internet of Things, neboli Internet věcí. Naprostá většina těchto zařízení komunikuje pomocí Wi-Fi. Společnost Tuya byla založena čínským podnikatelem Jerry Wangem a jejich mobilní aplikace je dostupná pro Android i Apple. Podle oficiálních stránek, aplikace v roce 2020 podporovala 90 tisíc typů chytrých zařízení a Tuya servery přijaly 80 miliard požadavků denně.
Zabezpečení aplikace Tuya
Na oficiálních stránkách aplikace můžete najít spoustu tvrzení a certifikací ohledně kvality jejich zabezpečení. Jedná se například o ISO certifikace 27001, 27017 a 27018 nebo tvrzení, že data jsou šifrována pomocí „military-grade AES“ a HTTPS. Problémem ale není zabezpečení samotné aplikace nebo Tuya serverů, nýbrž fakt, že Tuya není výrobcem jednotlivých chytrých zařízení. Výrobců jsou tisíce a kvalita i zabezpečení jejich zařízení se může velmi lišit. Pojďme si rozebrat jednotlivé problémy v zabezpečení, které objevili bezpečnostní experti.
Nešifrované předání hesla Vaší Wi-fi
Podle německého technologického deníku Heise.de je prvním problémem už samotný způsob nastavování Tuya chytrých zařízení. V prvním kroku je nutné předat z uživatelské aplikace do chytrého zařízení heslo Vaší domácí Wi-Fi. Aplikace totiž pošle toto heslo nešifrovaně, to znamená, že si ho může kdokoliv přečíst. Případný útočník (hacker) si tak může připravit speciální počítač, vytvořený k odchytávání těchto hesel k Wi-Fi a umístit ho například do velkého bytového domu, kde očekává větší výskyt smart zařízení. Po delším čase by pak získal přístup do všech Wi-Fi v tomto bytovém domě, do kterých někdo připojil chytrá Tuya zařízení. Ve chvíli, kde je hacker ve Vaší domácí Wi-Fi je pro něj výrazně jednodušší nainstalovat na Váš počítač např. spyware k získání čísla platební karty, hesla k bankovnímu účtu nebo dokonce ransomware, program, který zablokuje všechna Vaše data a bude požadovat výkupné. Tento problém se týká v podstatě všech zařízení využívajících aplikaci Tuya.
Možná úprava firmware
Dalším problémem je možná úprava softwaru (tzv. firmware) samotných chytrých zařízení útočníkem. K tomu může teoreticky dojít třemi způsoby. U některých zařízení po úspěšném připojení k Vaší Wi-Fi dojde k prvnímu spojení se serverem aplikace Tuya pomocí nezabezpečeného spojení (HTTP). V tu chvíli může útočník odchytit klíč pro komunikaci a následně do zařízení nahrát vlastní škodlivý firmware. Druhou možností je, že by si útočník zařízení koupil v obchodě, nahrál do nich škodlivý firmware a následně je vrátil. Poslední možností je, že zařízení budou obsahovat škodlivý kód už z výroby. U chytrých zařízení z čínských tržišť typu Aliexpress, nelze nijak zaručit, že se zde neobjeví podvodní prodejci. A k čemu by útočníkům bylo upravené smart zařízení ve Vaší síti? Můžou ho využít jako v předešlém případě k získání čísla Vaší platební karty nebo i jiným škodlivým aktivitám např. k vytvoření sítě zombie zařízení (tzv. botnet), která pak rozesílají nevyžádanou poštu (spam) nebo provádění DDoS útoky.
Uložení Wi-Fi hesla i serverového klíče bez zašifrování
Na další chybu upozornil bezpečnostní expert vystupující pod přezdívkou LimitedResults. Testoval několik chytrých Wi-Fi žárovek a zjistil následující. Nejenom že je heslo k Vaší Wi-Fi předáváno do zařízení nešifrovaně, je tak i v zařízení uloženo. To znamená, že pokud chytré zařízení prodáte nebo vyhodíte, nový majitel může velmi jednoduše zjistil heslo do Vaší domácí Wi-Fi. Tento expert dále také zjistil, že některé smart žárovky, zejména ty koupené přímo z Číny, mohou být dokonce životu nebezpečné. U jednoho zařízení byl převodník zajištující napájení LED diod totiž izolován pouze obyčejnou papírovou páskou.
Ukládání nepotřebných dat
Poslední pomyslnou kapkou je množství „nepotřebných“ dat, které o svých uživatelích servery aplikace Tuya ukládají. Jedná se například o kompletní historii, kdy bylo zařízení připojeno, kdy bylo zapnuto i vypnuto, dále pak GPS polohu samotného chytrého zařízení, kterou získává z GPS telefonu, na kterém je aplikace nainstalovaná.
Přemýšlejte o tom, jaká chytrá (IoT) zařízení si kupujete. Kdo je jejich výrobce a jak nakládá s Vašimi daty. Nebo zda dokonce nejsou životu nebezpečná.
Zdroje: