Hoppa till huvudinnehåll

Hemelektronik kan hackas - både på distans och i hemmet

smart hemelektronik
Bland annat kylskåp, tv-apparater, mikrovågsugnar och tvättmaskiner blir allt smartare. smart hemelektronik Bild: Maksym Yemelyanov smart hemelektronik

Antalet uppkopplade apparater har ökat kraftigt och väntas femdubblas på fem år. Det gör att kriminella blir mer intresserade av att attackera allt från internetuppkopplade tvättmaskiner till smarta led-lampor och tv-apparater. Hemmets modem ger i vissa fall den bakdörr som behövs.

modemtest
Företaget Codenomicon har utfört ett modemtest. modemtest modemtest
Sju modem som är vanliga i Finland var för en tid sedan med om ett test hos it-företaget Codenomicon. Resultatet visade att fyra av modemen hade otäckt dålig säkerhet, och de resterande tre hade dålig säkerhet. Inga av dem fick vitsorden bra eller utmärkt.

- Modem och routrar som är gjorda för användning i hemmen är inte lika pålitliga som apparater för företagsbruk. De största säkerhetshålen är programmeringsfel. Kvalitet kostar och man kan inte utgå från att billiga modem är bra, kommenterar forskningschef Ari Takanen.

Modemtillverkaren Zyxels Finlandschef Simo Salmensuu medger, utan att ta ställning till det specifika testet, att modem inte är helt säkra.

- Modem kan vara mycket sårbara. När de är det så kan det möjliggöra att en hacker tar sig in i användarens lokala nätverk.

Det förenklar enligt it-experter attacker på andra internetuppkopplade apparater i hemmet.

Sårbara modem

Porträtt på Leif Nixon.
Leif Nixon Porträtt på Leif Nixon. leif nixon
Säkerhetsluckorna kommer inte som en blixt från klar himmel för Leif Nixon, säkerhetskoordinator på Nationellt superdatorcentrum vid Linköpings universitet. Han var nyligen med om att upptäcka att tre modemmodeller som är vanliga i Sverige har stora säkerhetsproblem.

- Jag har jobbat med säkerhet i ganska många år och är van vid att det kanske står ganska illa till, men den här gången blev jag faktiskt överraskad över hur illa det var. De här modemen kan inte ha genomgått någon säkerhetstestning över huvudtaget.

Liknande modeller används också i viss utsträckning i Finland, men de är inte helt identiska med de rikssvenska, så det är svårt att veta om de finländska varianterna är lika sårbara. Yle Nyheter har informerat Cybersäkerhetscentret, som ansvarar för nätverkssäkerheten i Finland, om de potentiella säkerhetsproblemen och de har lovat titta närmare på saken.

300 000 modem hackades

Trådlös router och modem
Kombinerat modem och router. Trådlös router och modem router
I de fall Nixon upptäckte i Sverige var säkerheten såpass dålig att utomstånde kunde spionera på all nätverkstrafik som gick via modemet och också styra om den. Brottslingar har tidigare dragit nytta av sådana här säkerhetshål. Till exempel i fjol höstas hackades 300 000 modem i Polen och då lyckades angriparna kapa flera användares bankkonton.

Särskilt om man har ett äldre modem, som inte får automatiska uppdateringar via operatören, så kan det löna sig att utföra en manuell säkerhetsuppdatering om en sådan finns tillgänglig. Eller så byter man ut apparaten mot en nyare.

- Många operatörer skickar ut en ny om man bara ringer och pratar med dem och säger att man inte vill ha ett modem som inte längre får säkerhetsuppdateringar, kommenterar Nixon.

Operatörerna och myndigheterna förebygger dessutom systematiskt dataintrång genom att blockera vissa portar och protokoll i nätverket. Osäkra uppkopplade apparater kan tack vare det skyddas från flera olika attacker.

50 miljarder apparater år 2020

Sarah Mehrabzabeh visar upp en 84 tum stor smart-tv med inbyggd kamera på en mässa i Las Vegas, USA.
Sarah Mehrabzabeh visar upp en 84 tum stor smart-tv med inbyggd kamera på en mässa i Las Vegas, USA. Sarah Mehrabzabeh visar upp en 84 tum stor smart-tv med inbyggd kamera på en mässa i Las Vegas, USA. Bild: EPA/Michael Nelson smart-tv
Men det handlar alltså inte bara om modem eller routrar. Nätverkskoncernen Cisco uppskattar att antalet internetuppkopplade apparater kommer att femdubblas fram till år 2020 - till 50 miljarder. Då talar vi om allt från smart-tv-apparater och kylskåp till dvd-spelare och värmesystem i hemmet. Hemelektroniken har i flera fall haft en bristfällig säkerhet.

Neal Hindocha är en ansedd it-säkerhetsexpert vid Fort Consult i Köpenhamn. Han ger exempel på vad företaget har lyckats göra.

- Vi lyckades installera programvara på en smart-tv, som var försedd med mikrofon och videokamera, och det gjorde i princip om tv:n till en enhet som spelade in allt som hände. I det här fallet använde vi mikrofonen för att spela in allt som den kunde snappa upp.

- Det krävs bara ett usb-minne och ungefär två minuter för att smart-tv:n ska kunna avlyssna allt du säger.

Fundera på vem du släpper in

Hindocha rekommenderar därför folk att vara extra noga med vilka personer de släpper in i sina hem, eftersom flera apparater lätt kan hackas om attackeraren får fysisk tillgång till dem.

- Förr i tiden så kanske det var okej att olika städare eller hantverkare kom in i hemmet, men nu ska man tänka sig för. Nu ska man veta att har man en smart-tv med mikrofon och kamera, så krävs det bara ett usb-minne och ungefär två minuter för att tv:n ska kunna avlyssna allt du säger i hemmet. Sedan kan den ladda upp det till en central server.

Smart tvättmaskin
En smart tvättmaskin. Just den här modellen prövade it-experterna inte hacka. Smart tvättmaskin lg
I samma testhus där smart-tv:n stod lyckades andra it-säkerhetsexperter bryta sig in i allt från babymonitorer, skannrar och kaffekokare till lampor, mediespelare och kylskåp. Enligt Neil Hindocha är folk inte så medvetna som de borde vara när det gäller datasäkerhet.

- Jag tror att medvetenheten ökar men det behövs nog mer. Just nu prioriterar företagen funktionalitet för att användarna gör det. Så jag tror att det är där intresset ligger: titta vilken häftig app jag har, jag kan se när min tvättmaskin är färdig. Men det är ingen som tänker på säkerheten. Det behöver komma ett tryck från konsumenter mot företagen, för att företagen ska fokusera på säkerhet.

Större problem i framtiden

Internet
Det är tills vidare främst datorer, modem och mobiler som attackeras. Internet Bild: EPA/Salvatore di Nolfi nätverk
Både Hindocha och Nixon betonar ändå att man inte ska överdriva risken för att ens hemelektronik ska råka ut för dataintrång i dagens läge. Det är tills vidare främst datorer, modem och mobiler som drabbas.

- Man ska inte heller överdriva. Det här handlar snarare om vad som komma skall än vad som finns just nu.

Men hackare kan alltså få tillgång till dina smarta apparater och ändra deras funktion så att de till exempel spionerar eller utför attacker mot andra hem eller företag. Hindocha berättar att han för en tid sedan upptäckte ett nätverk av hackade apparater som skickade skräppost.

- Det var tusentals uppkopplade enheter med i det spamnätverket, bland annat ett kylskåp, ett stort antal luftkonditioneringsapparater. Och lite annat helt enkelt. Kan inte hela listan men den är rätt lång.

Oklar ansvarsfördelning

Sonera.
Operatörerna Sonera, Elisa och DNA påpekar att många av deras modem uppdateras automatiskt, men tiotusentals kunder har också äldre och möjligen osäkra modem. Sonera. sonera
På vems ansvar är det då om en hackare lyckas få ens kylskåp att sända skräppost? Eller om en sårbarhet i modemet avslöjar vad du gör på webben? Det är inte helt enkelt att svara på.

- Tillverkaren kommer att säga att den är fem år gammal. Supportkontraktet gick ut för tre år sedan. Operatören kommer att säga att de skickade ut den till användaren med ett användaravtal som säger att användaren är ansvarig. Och användaren säger: ja, jag fick den här och jag använder den. Hur ska jag veta det här, fortsätter Neal Hindocha.

Dessutom är det svårt att veta hur säkra apparaterna i hemmet egentligen är.

- Det är väldigt oroande. Det här är konsumentprodukter och eftersom konsumenterna inte kan avgöra om de är säkra eller inte så finns det inget incentiv för tillverkarna att lägga ned några större resurser på att göra prylarna säkra, kommenterar Nixon.

"Märk produkterna!"

Nixon efterlyser säkerhetsmärkningar, antingen obligatoriska eller frivilliga.

- Det jag önskar skulle finnas är nån form av certifiering, eller oberoende tester där man faktiskt testar sådana här produkter, där man kan sätta ett märke på att den här har genomgått säkerhetstester av en oberoende part.

En sak många kan göra redan i dag är att byta ut standardlösenordet på sina apparater. Det kan göra dem säkrare i vissa fall. Om lösenordet är 1234 eller admin, så räcker det troligen inte länge för en hackare att ta sig in.

Läs också:
Cybersäkerhetscentret: Byt lösenord på dina smarta apparater

Läs också

Nyligen publicerat - Inrikes