스마트 홈 IoT에 대한 교활한 malvertising 먹이

악성 광고는 사용자가 클릭하지 않고도 스마트 홈 IoT 장치를 공격할 수 있습니다. 광고에.

이번 주까지 저는 멀버타이징(malvertising) 또는 악성 광고에 대해 들어본 적이 없으며, 스마트 홈 네트워크에서 사물 인터넷(IoT) 장치를 공격할 가능성에 대해서도 들어보지 못했습니다. 저는 IoT, 사이버 보안 및 스마트 홈에 대해 글을 쓰고 있기 때문에 동유럽의 범죄 조직이 악성 광고를 사용하여 가정의 IoT 장치를 공격했다는 보고서를 보고 더 깊이 파고 들었습니다.

스마트 전기 계량기의 디스플레이가 어떻게 공격의 희생자가 될 수 있는지 이해하고 싶었습니다. 맬버타이징에 대한 나의 제한된 지식으로 인해 웹 사이트에서 광고를 클릭하는 경우에만 문제가 된다고 생각했습니다. 그러나 클릭이 필요하지 않기 때문에 스마트 에너지 계량기 또는 보안 카메라, 잠금 장치 및 엔터테인먼트 장치와 같은 가정의 기타 연결된 장치에 쉽게 영향을 미칠 수 있습니다.

Malvertising은 온라인 광고 네트워크를 통해 온라인 디스플레이 광고에 악성 코드를 삽입하여 악성 코드를 확산시켜 사용자 네트워크와 연결된 장치를 잠재적인 감염 위험에 노출시킵니다. 광고 네트워크는 일반적으로 자신이 악성 콘텐츠를 제공하고 있다는 사실을 모르고 있으며 모바일 광고 사이버 보안 회사인 GeoEdge가 공개한 공격에서 공격 대상 사용자는 감염된 광고를 클릭하거나 악성 페이지로 이동할 필요조차 없습니다. 홈 네트워크 장치에 대한 공격

GeoEdge는 특히 홈 네트워크 기반 IoT 장치를 겨냥한 최초의 광고 기반 사이버 범죄인 글로벌 규모의 멀버타이징 공격을 발견했다고 밝혔습니다. 2021년 6월 중순부터 스마트 홈 IoT 장치에 대한 악성 광고 공격을 조사해 온 보안 연구 팀은 슬로베니아와 우크라이나의 악의적인 행위자로부터 공격 벡터와 기원을 모두 식별했습니다.

널리 분포된 공격 벡터는 홈 Wi-Fi 연결 IoT 장치에 앱을 자동으로 설치하기 위해 온라인 광고를 사용하는 최초의 공격이며 해커가 장치 API 문서에 대한 기본 이해, 약간의 JavaScript 지식 및 기본적인 온라인 광고 기술만 있으면 된다고 덧붙였습니다. . IoT Analytics와 같은 시장 조사 회사가 2025년까지 전 세계적으로 300억 개 이상의 IoT 장치 연결을 예측한다는 점을 감안할 때 가정 및 산업용 IoT는 맬버타이저 공격에 매우 매력적이고 취약한 기회가 됩니다.

GeoEdge의 연구에서 밝혀진 광범위한 IoT 공격의 영향에는 IoT 장치를 조작하는 능력, 사용자 동의 없이 앱을 다운로드하는 능력, 개인 정보 및 화폐 수단의 절도, 스마트 잠금 장치 및 감시 카메라와 같은 홈 시스템 변조 위험이 포함됩니다. GeoEdge는 이러한 공격을 차단하기 위해 바이러스 백신 앱과 방화벽조차도 충분하지 않기 때문에 감염된 광고가 렌더링되어 사용자에게 표시되지 않도록 실시간으로 지속적으로 차단해야 한다고 말합니다. ).

공격 규모에 대해 GeoEdge에 질문했습니다. 암논 시예프(Amnon Siev) 회사 CEO는 “아직 공격을 보여주는 기기의 양적 수치나 그래프, 사례 등을 공개할 수는 없다”며 “아직 기기 업체와 협업을 진행하고 있는 진행 중인 노력”이라고 말했다. 이 시점에서 공유할 수 있는 것은 IoT 장치가 악성 광고에 노출되어 있다는 것입니다. 그들은 당신이 요청하지 않은 응용 프로그램과 함께 설치할 수 있으며 멀버타이저가 멀리서 액세스할 수 있습니다. 그리고 이것은 모두 자신의 보안 홈 네트워크에서 사용자에게 선보인 악성 광고의 결과입니다.”

그가 말할 수 있었던 것은 공격의 발원지가 동유럽 범죄 조직이며 저렴하고 배포하기 쉽기 때문에 공격의 배포 채널로 프로그래밍 방식 광고를 사용하고 있다는 것뿐입니다. 이 회사는 연구를 수행하기 위해 Adtech(광고 기술) 회사 InMobi 및 Verve Group과 제휴했습니다. Siev는 "InMobi와 Verve의 협력을 통해 이러한 공격의 출처, 인프라 및 글로벌 규모를 노출했습니다. 이 공동 임무는 사용자 보호를 위한 새로운 표준을 만들 수 있었던 위협 환경에 대한 신뢰와 깊은 이해를 기반으로 합니다."

따라서 이야기의 교훈은 IoT 보안에 대해 알고 있다고 생각하고 Connected Home 장치를 보호하기 위한 적절한 조치(예:강력한 암호 보장)를 취했다고 해도 충분하지 않을 수 있다는 것입니다. 공격자가 스마트 홈 네트워크에 침입하기 위해 반드시 생각하지 않을 수 있는 다른 방법이 많이 있을 수 있습니다. 악성 광고는 그 중 하나일 뿐입니다.

>> 이 기사는 원래 자매 사이트인 EE에 게시되었습니다. 시간.