Вы устанавливаете свой смарт-замок для вторжения?

Вы устанавливаете свой смарт-замок для вторжения?

Переупаковка вашего смарт-замка может быть удобной, но она открывает ваш дом (буквально) до одного довольно простого взлома.

Цель умных домашних продуктов и домашней автоматизации — сделать вашу жизнь проще. С подключенными продуктами в вашем доме вам не нужно беспокоиться о мирских задачах, таких как выключение всех ламп перед сном или выход на улицу, чтобы вы не забыли закрыть дверь гаража. Командование всеми умными умными домами с вашим голосом, в частности, быстрым, свободным от рук и по-прежнему чувствует себя футуристическим. В этом есть риск, особенно когда речь идет о смарт-замках.

Звуковые преобразователи, подобные этому, создают звук вибрацией через поверхность, к которой они прикреплены.

Исследователь безопасности (читайте: хакер) по имени Брэд "RenderMan" Хейнс связался с CNET с простой ошибкой в ​​отношении смарт-замков и разблокировки голоса. С аудио-преобразователем и рецептом IFTTT, разработанным для работы с интеллектуальными замками Z-Wave, злоумышленник может разблокировать вашу дверь снаружи с помощью голосовой команды. Этот трюк работает только в том случае, если вы вначале плохо выполнили настройку своей интеллектуальной блокировки, но тот факт, что он работает, говорит о потенциальной уязвимости потребителей, которые не предпринимают некоторые основные шаги для обеспечения безопасности своих домов.

Я попробовал свои силы в этой умной лазейке замка на CNET Smart Home с тремя известными смарт-замками: август Smart Lock Pro, Kwikset Obsidian и Yale’s Assure SL Touchscreen Deadbolt. Вот как это получилось.

Как это устроено

Большинство голосовых команд для разблокировки смарт-блокировки требуют, чтобы вы также устно вводили ПИН-код. Исключение составляют блокировки, которые используют стандарт беспроводной связи низкой дальности связи Z-Wave. Z-Wave — одна из нескольких беспроводных технологий, которые смарт-домашние устройства используют для подключения к концентраторам, которые подключаются к Интернету, например, концентратору SmartThings, который мы использовали в наших тестах.

В дополнение к совместимости с Z-Wave для повторного использования этого хака вам также понадобится учетная запись с IFTTT (If This, Then That), онлайн-платформой для создания пользовательских команд и сцен с подключенными интеллектуальными устройствами. Чтобы настроить команду IFTTT (известную как "рецепт"), вам нужно будет подключить замок к концентратору Z-Wave вашего дома и войти в свою учетную запись концентратора через IFTTT. Это связывает две службы и разблокирует все ваши параметры автоматизации.

Рецепты IFTTT не так уж плохи. Вы можете использовать эти автоматические подключения для выполнения таких действий, как отправка уведомлений или действий в журнале в электронной таблице, когда определенный пользователь блокирует или открывает дверь. Вы можете добавить свет и умные приборы, чтобы включить питание, когда вы приходите домой или выключаете, когда вы запираете дверь и уходите.

Мы использовали концентратор SmartThings для подключения Z-Wave.

IFTTT также позволяет создавать пользовательские апплеты, правила, которые объединяют интеллектуальные домашние продукты вместе. Вы можете создавать автоматические системы с сотнями интеллектуальных продуктов, которые изначально не работают вместе. Именно это позволяет работать с разблокировкой без PIN-кода. Например, вы можете создать собственный апплет, "Если температура снаружи достигает 80 градусов, то настройте мой термостат гнезда."

В моем тестовом сценарии "Если это" часть апплета — это специальная фраза для Google Assistant или Amazon Alexa. На данный момент разблокировка смарт-блокировки невозможна с помощью HomePod. С помощью Google Assistant я создал пользовательскую команду "Разблокируйте входную дверь." "Тогда это" часть — действие. В этом случае действие разблокируется. Чтобы установить действие, я выбрал SmartThings, затем команду разблокировки, а затем выбрал соответствующую интеллектуальную блокировку в раскрывающемся меню параметров. Хит сохранить, и все готово.

Тем не менее, это не все зеленые огни и добро. Было несколько флажков, которые мне нужно было переключать и "я понимаю" всплывающие окна, чтобы принять, прежде чем SmartThings сможет контролировать разблокировку блокировки. Как только я позволил контролировать, все работало как шарм. Опять же, это все, что вы можете сделать, чтобы подключить замок к команде IFTTT.

Читайте так же

Принтер HP Tango не похож на принтер, и мы хотим е... - Он работает с Alexa и Google Assistant! Сегодня дело в принтерах заключается в том, что они выглядят так, хорошо, датированы и громоздки. HP надеется решить эти проблемы с помощью своего нового домашнего принтера Tango. У HP Tango есть тканевое покрытие, которое делает его более компактным и даже почти книжным. Это все еще принтер, но он, похож...
Не Устанавливается Windows 7 На Ноутбук Acer... Как установить Ос 7 на ноутбук Acer Принципиальные замечания: В этой публикации мы отключим в БИОСе опцию UEFI и установим Операционной системы 7 на диск с традиционной таблицей разделов MBR. Если у вас имеется желание установить Ос 8, тогда практически всё, что написано ниже не надо, входите в БИОС, выставляйте первоочерёдную загрузку ноутбука с...

Сказать, "Хорошо, Google, откройте входную дверь" быстро разблокировал каждый из трех проверенных мной замков. Я должен указать, что это не так интуитивно с Amazon Alexa, когда речь заходит о пользовательских голосовых командах. Вам нужно будет включить слово "спусковой крючок" в вашей пользовательской команде. Это делает его немного сложнее для потенциального злоумышленника угадать правильную фразу. Казалось бы, "Алекса, триггер «Открой входную дверь»." Это неуклюже, но все равно работает, и любой хакер будет знаком с этой фразой.

Подумаешь?

Несомненно, не нужно отвечать на вопрос о вашем умственном динамике с помощью PIN-кода каждый раз, когда вы хотите разблокировать дверь, удобно, но это небезопасно. Он открывает ваш дом всем, кто может передать громкую и понятную команду, чтобы поймать ухо вашего умного динамика. Это можно сделать с помощью звукового преобразователя вне вашего дома.

Проще говоря, звуковые преобразователи воспринимают звук и передают его в электрическую или акустическую энергию. Преобразователь использует свои вибрации, чтобы превратить резонансную поверхность как деревянную дверь дома или стекло в динамик, проецируя звук внутри дома. Держите преобразователь заподлицо с окном, воспроизведите запись голоса, которая гласит: "OK Google, откройте входную дверь," и ходить прямо.

Умные динамики предназначены для отображения.

Да, для выполнения этой работы потребуется наблюдательный нарушитель. Это требует активации конкретного помощника голоса, который вы используете в своем доме, но так сложно догадаться? Многие из нас с гордостью демонстрируют наши блестящие новые умные динамики на наших кухонных столешницах или полках для гостиной. Это позволяет легко определить, какой помощник голоса контролирует ваш дом. Также было бы не так много времени, чтобы просто попробовать каждый.

Также злоумышленник должен знать, что вы назвали своей блокировкой на платформе SmartThings. Возможно, это трудно угадать, но, скорее всего, большинство из нас называют наши замки чем-то удобным, но невероятно очевидным, как "передняя дверь" или же "дверь." Злоумышленники могли просто продолжать гадать, пока они не поправили его или не вышли из питания аккумулятора для преобразователя.

Что еще возможно?

Несанкционированный вход в ваш дом является серьезной проблемой, но это не единственный способ использовать этот эксплойт. Кто-то в пределах слышимости говорящего с помощью преобразователя может также выполнять умные домашние команды, такие как включение ваших огней или даже открытие ваших умных оттенков.

Когда дело доходит до покупки голоса, здесь есть и настоящие проблемы. Хотя Google Assistant требует либо распознавания голоса, либо голосового кода для завершения покупок, Alexa позволяет отключить голосовой код, и любой, кто находится в пределах слышимости, может совершить покупку. Вы получите почтовую квитанцию, и любые физические покупки имеют право на возврат, если происходит ошибочная покупка. Тем не менее, ясно, что безопасность таких вещей, как разблокировка и покупка через интеллектуальный динамик, несут ответственность пользователя.

Что говорят производители

Я обратился за комментариями к августу, Kwikset, Yale, SmartThings и IFTTT. Каждая компания ответила, и сообщение чаще всего было признанием того, что у клиентов есть возможность обойти ПИН-код, но следует учитывать опасности и даже брать на себя ответственность за них. Я слышал такие фразы, "Домовладелец принимает связанные с рисками" а также, "Они могут решить, какой уровень осторожности они хотят принять." Команда в IFTTT предложила клиентам сделать свою пользовательскую команду чем-то очень конкретным, "ОК, Google, откройте мой дверной код шесть девять G." Официальные отчеты компаний копируются ниже, но суть практически одинакова: делайте это на свой страх и риск.

августейший

В августе мы уделяем приоритетное внимание тому, чтобы всегда держать плохих парней, всегда позволяя хорошим парням, а затем удобство. По этой причине мы настоятельно рекомендуем, чтобы августовские пользователи Smart Lock использовали августовскую интеграцию с голосовыми помощниками, чтобы разблокировать их двери, чтобы избежать сценариев, подобных тем, которые вы наметили.

Кристофер Доу, технический директор, август

Kwikset

В Kwikset мы поставили безопасность в первую очередь, и мы поощряем наших клиентов, домовладельцев и арендаторов делать разумные решения, когда речь заходит о домашней автоматизации. Важно воспитывать себя и учитывать ценность, которую вы ставите на безопасность и удобство при интеграции вашей блокировки с другими интеллектуальными домашними продуктами, системами, платформами и голосовыми помощниками.

Конкретно для IFTTT и ситуации, которую вы представили, домовладельцы могут выбрать возможность разблокировки без PIN-кода через помощник голоса для дополнительного удобства. Это необязательная настройка, и в то же время она обеспечивает более плавное взаимодействие с блокировкой через помощник по голосованию — путем включения этой функции домовладелец принимает связанные с этим риски и принимает сознательное решение о приоритете удобства над безопасностью. В конечном счете, домовладелец действительно имеет контроль над своей защитой от блокировки и может избежать конкретной ситуации, которую вы набросаете, просто не позволяя "разблокировать без PIN-кода" Рецепт IFTTT.

Вы устанавливаете свой смарт-замок для вторжения?

Читайте так же

Принтер HP Tango не похож на принтер, и мы хотим е... - Он работает с Alexa и Google Assistant! Сегодня дело в принтерах заключается в том, что они выглядят так, хорошо, датированы и громоздки. HP надеется решить эти проблемы с помощью своего нового домашнего принтера Tango. У HP Tango есть тканевое покрытие, которое делает его более компактным и даже почти книжным. Это все еще принтер, но он, похож...
Не Устанавливается Windows 7 На Ноутбук Acer... Как установить Ос 7 на ноутбук Acer Принципиальные замечания: В этой публикации мы отключим в БИОСе опцию UEFI и установим Операционной системы 7 на диск с традиционной таблицей разделов MBR. Если у вас имеется желание установить Ос 8, тогда практически всё, что написано ниже не надо, входите в БИОС, выставляйте первоочерёдную загрузку ноутбука с...

В настоящее время многим основным устройствам голосовой связи и платформам безопасности требуется PIN-код для разблокировки с помощью голосового помощника. Kwikset и другие производители конечных устройств попросили других специалистов в отрасли уделять первоочередное внимание этому (требуя PIN-кода) для обеспечения безопасности своих клиентов. Хотя может показаться, что быстрее открыть дверь без ПИН-кода, существует связанный с этим риск, и Kwikset не рекомендует подвергать риску безопасность вашего дома, чтобы сэкономить несколько секунд.

-Трой Браун, главный инженер — электронные системы для Kwikset

Йельский университет

Йель работает с такими партнерами, как SmartThings и Amazon, для реализации рекомендуемых настроек наших смарт-шлюзов, таких как Amazon Alexa, требующих голосового кода, чтобы разблокировать Yale Lock, чтобы помочь нашим клиентам избежать сценариев, подобных тем, которые вы указали. Тем не менее, у клиента есть возможность настраивать и настраивать параметры для их умной блокировки и выбирать другие возможности — таким образом они могут решить, какой уровень осторожности они хотят принять.

— Кевин Краус, директор по технологическим интеграциям

SmartThings

SmartThings позволяет блокировать и разблокировать функциональность как часть стандартной интеграции API с интеллектуальными блокировками сторонних производителей (Works With SmartThings). Текущие работы с интеграцией SmartThings:

  • Интеграция Amazon Alexa с SmartThings поддерживает разблокировку через безопасную функцию разблокировки Alexa. Пользователь имеет возможность включить функциональность и / или настроить уникальный PIN-код.
  • Интеграция Google Assistant с SmartThings не поддерживает разблокировку через голосовое управление Google Home.

В то время как эти умные способности доступны клиенту, им нужно их включить. SmartThings предоставляет платформу для интеграции сторонних устройств (работает с продуктами SmartThings), и производитель этих устройств устанавливает рекомендации.

IFTTT

Для тех, кто использует IFTTT и голосовые помощники, которым нужен дополнительный уровень безопасности, мы рекомендуем вам настроить уникальную фразу Applet, чтобы включить PIN-код или ключевое слово по вашему выбору. Например, "ОК, Google, откройте мой дверной код шесть девять G."

IFTTT находится на миссии, чтобы помочь каждому защитить и извлечь выгоду из их информации. Поскольку наша отрасль продолжает развиваться, мы стремимся работать со всеми сервисами IFTTT, чтобы сделать их опыт более мощным и безопасным. Чтобы помощники голоса стали такими же эффективными в нашей жизни, как и наши смартфоны, все еще есть большие шаги, которые необходимо предпринять для обеспечения каждого типа взаимодействия с ними. Распознавание голоса — это важный шаг в правильном направлении для ассистентов таким же образом, как отпечатки пальцев и распознавание лиц для смартфонов.

Мы обратились к Google и Amazon за комментариями и обновим этот пост своими ответами.

Выгода заключается в следующем: для улучшения или, что еще хуже, бремя ответственности за то, что вы делаете основные шаги, чтобы защитить ваши интеллектуальные домашние устройства. Если вы собираетесь использовать голосовой помощник, чтобы разблокировать свои двери, используйте PIN-код каждый раз, независимо от того, насколько досадно это иметь дополнительный шаг. В следующий раз, когда вы подумаете, что это раздражает, чтобы ответить Google Assistant или Alexa, подумайте о том, как раздражать это было бы отслеживать ваши похищенные вещи.

Вы устанавливаете свой смарт-замок для вторжения?

Читайте так же

Принтер HP Tango не похож на принтер, и мы хотим е... - Он работает с Alexa и Google Assistant! Сегодня дело в принтерах заключается в том, что они выглядят так, хорошо, датированы и громоздки. HP надеется решить эти проблемы с помощью своего нового домашнего принтера Tango. У HP Tango есть тканевое покрытие, которое делает его более компактным и даже почти книжным. Это все еще принтер, но он, похож...
Не Устанавливается Windows 7 На Ноутбук Acer... Как установить Ос 7 на ноутбук Acer Принципиальные замечания: В этой публикации мы отключим в БИОСе опцию UEFI и установим Операционной системы 7 на диск с традиционной таблицей разделов MBR. Если у вас имеется желание установить Ос 8, тогда практически всё, что написано ниже не надо, входите в БИОС, выставляйте первоочерёдную загрузку ноутбука с...