Hackaway day – vi hackar smarta högtalare

Härom veckan arrangerade vi Hackaway day, en dag då vi ger oss på att hacka något för att lära oss mer, denna dag var det smarta högtalare vi undersökte. Men vad innebär det egentligen att hacka något?

Det beror på vem du frågar. I vårt fall letar vi efter sätt att använda en produkt eller tjänst på, så att obehöriga kan tillförskansa sig information eller befogenheter de inte ska ha. Vi kallar detta för penetrationstestning. Under dagen testade vi inte bara högtalarnas inbygga säkerhet genom så kallade penetrationstester, utan vi tittade också närmare på hur användare och tillverkare kan reducera säkerhetsrisker genom exempelvis rätt inställningar. Det visade sig bli en lärorik övning, då vi hittade möjligheter att tillskansa sig information och befogenheter.

Informationen i högtalaren

Dagen började med att vi undersökte vilken information som går att komma åt i högtalarna via gränssnitt och appar. Vi konstaterade ganska snabbt att det går att komma åt i princip all information i högtalaren om man är ansluten till samma WiFi-nät. Tack och lov innehåller en högtalare inte så mycket känslig information, men även WiFi-lösenordet och en och annan PIN-kod gick också att tillskansa sig. Det kanske inte låter så dramatiskt, men kommer denna information på villovägar öppnar det upp för ytterligare säkerhetshot på enheter på samma WiFi-nät och om man återanvänt sina PIN-koder på känsliga tjänster.

Nästa steg var att titta på om vi kunde får högtalarna att starta om, det vill säga återgå till sin allra första uppstart, vi kallar det ”första gången”-processen. Går detta att göra är det ofta möjligt att styra högtalaren precis som man vill, vilket inte är möjligt om man har en enkel inloggning på det webgränssnitt som ofta används för detta.

Om högtalarna har möjlighet att använda WPS så undvik gärna detta, eftersom det gör din högtalare mer sårbar för attacker av någon som befinner sig i närheten.

Uppdateringar, hoten och måsten

Ett annat område vi tittade på var uppdateringsprocesser. Det är jätteviktigt att högtalare uppdateras när nya uppdateringar blir tillgängliga. Uppdateras inte mjukvaran blir högtalaren förr eller senare alltid sårbar.

Uppdateringar kan också vara en risk. Om en obehörig skickar en egenutvecklad uppdatering till din smarta högtalare så kan personen ta över den helt. Med en externt kontrollerad enhet i ditt nätverk går det att angripa andra enheter i nätverket eller skapa ett botnet bestående av flera högtalare som kan angripa andra i stora attacker (se tex  https://krebsonsecurity.com/2018/05/study-attack-on-krebsonsecurity-cost-iot-device-owners-323k/). Uppdateringen måste alltså alltid komma från en verifierad leverantör.

Som användare ska man också ifrågasätta rättigheterna som vissa appar som styr högtalarna kan ha. Är det verkligen nödvändigt att appen behöver tillgång till SMS, samtal, GPS, kamera eller mikrofon?

Tips och råd

En dag går fort och vi hittade flera saker att gräva vidare i och fördjupa sig i, men som en första summering vill jag dela med mig av några allmänna råd som reducerar riskerna med smarta högtalare:

  • Var uppmärksam på ”första gången”-processen så att den inte utnyttjas, använd gärna kabel om det är möjligt.
  • Var medveten om att personer på samma nätverk ofta kan komma åt WiFi-lösenordet och andra koder.
  • Var medveten om att personer på samma nätverk ofta kan styra dina högtalare som de vill.
  • Glöm inte att om ingen uppdatering sker så kommer mjukvaran med stor sannolikhet innehålla sårbarheter efter en tid.
  • Var också medveten om att det ska gå att verifiera var uppdateringen kommer ifrån.
  • Se till att ha ett bra uppsatt nätverk, gärna med flera separerade nät (till exempel ett gästnätverk), bra kryptering och inga default eller svaga lösenord som skydd.
  • Fundera på om du verkligen behöver en uppkopplad pryl – vad är fördelarna och uppväger de nackdelarna?
  • Kräv att de produkter du köper har signering/kryptering även inom interna nätverk.
  • Trådbundna nätverk är svårare att avlyssna och komma åt än trådlösa nätverk för en utomstående då de oftast kräver fysisk tillgång till det lokala nätverket.
  • Kräv att de appar du använder inte har onödiga rättigheter som kan utnyttjas av obehöriga.