Därför hackas smarta hem oftare än du tror

Din smarta högtalare lyssnar. Ditt smarta lås loggar varje gång du låser upp dörren. Din robotdammsugare kartlägger varje rum i ditt hem. Var och en av dessa prylar är uppkopplad mot internet, och var och en av dem är en potentiell ingång för den som vill ta sig in i ditt nätverk. Smarta hem har exploderat i popularitet de senaste åren, men säkerheten har inte hängt med i samma takt. I den här artikeln tittar vi på varför smarta hem är så pass sårbara, och vad som egentligen händer när någon tar sig in.

Så tar sig hackare in i ditt smarta hem

Det finns en vanlig missuppfattning om att hackare bara riktar in sig på banker, myndigheter eller stora företag. I verkligheten är smarta hem ett av de mest attraktiva målen just nu, inte för att de innehåller känslig finansiell data, utan för att de är enkla att ta sig in i. Kombinationen av dåligt skyddade enheter och ouppmärksamma användare gör smarta hem till en perfekt startpunkt.

Standardlösenord som aldrig byts

Den vanligaste ingången är samtidigt den mest förvånansvärt enkla. De flesta smarta enheter levereras med ett fabriksinställt lösenord, ofta något i stil med ”admin” eller ”1234”. Tanken är att användaren själv ska byta det vid installation, men studier visar att en stor majoritet aldrig gör det. Hackare känner till dessa standardlösenord, de är ofta publikt dokumenterade i tillverkarnas manualer och finns samlade i databaser som vem som helst kan söka i. Med rätt verktyg kan en angripare automatiskt skanna tusentals uppkopplade enheter och testa kända lösenord på sekunder.

Routern som glömdes bort

En annan svag länk är routern, alltså den enhet som kopplar samman alla andra prylar i hemmet med internet. Den uppdateras sällan och kontrolleras ännu mer sällan. När en hackare väl är inne i routern har den i praktiken tillgång till hela nätverket. Därifrån kan den övervaka trafik, manipulera enheter eller använda din uppkoppling för att genomföra attacker mot andra mål, utan att du märker ett dugg.

Några av de vanligaste sätten hackare tar sig in i smarta hem är:

• Standardlösenord som aldrig bytts på nya enheter
• Gammal routermjukvara med kända säkerhetshål
• Osäkra trådlösa nätverk utan kryptering
• Enheter som kommunicerar okrypterat inom hemnätverket
• Appar med för vida behörigheter som läcker data

När prylen aldrig fick en uppdatering

Många smarta enheter är i grunden små datorer med ett operativsystem som behöver underhåll. Problemet är att tillverkare, särskilt mindre aktörer, ofta slutar skicka säkerhetsuppdateringar relativt snabbt efter att en produkt har lanserats. En smart glödlampa eller ett billigt övervakningskamera kan alltså ha kända säkerhetshål som aldrig täpps till, och fortsätta hänga i ditt nätverk i år efter år. Hackare söker aktivt efter just dessa enheter, eftersom de är enkla mål som sällan vaktas av någon.

Det som gör situationen extra besvärlig är att många användare inte ens vet om att deras enheter kan uppdateras, eller var de i så fall ska göra det. Ansvaret hamnar i en gråzon mellan tillverkare och konsument, och i den gråzonen trivs den som letar efter en öppen dörr.

Tillverkarna som sätter design före säkerhet

Bakom varje sårbar smart enhet finns en tillverkare som har fattat en rad beslut under produktutvecklingen. Och alltför ofta har säkerhet kommit i sista hand, om den har kommit med alls. Det handlar sällan om ond vilja, utan om ekonomiska incitament som pekar i fel riktning.

Snabb lansering, lång sårbarhet

Marknaden för smarta hemprodukter är hårt konkurrensutsatt. Marginaler är ofta små och trycket på att vara först ut med nya funktioner är stort. I det klimatet är säkerhetsgranskning något som lätt skärs bort för att spara tid och pengar. En produkt som lanseras sex månader tidigare kan ge en avgörande konkurrensfördel, och de säkerhetshål som följer med köpet är konsumentens problem, inte tillverkarens. Det är en logik som genomsyrar branschen och som har fått stå i princip oemotsagd i många år.

Ingen som ställs till svars

Ett centralt problem är att det länge har saknats regelverk som håller tillverkare ansvariga för bristfällig säkerhet. Om en smart kamera med ett känt säkerhetshål används för att ta sig in i ett nätverk, är det i de flesta länder fortfarande oklart vem som bär ansvaret. Tillverkaren kan hävda att användaren borde ha uppdaterat mjukvaran. Användaren visste inte om att det fanns en uppdatering. Och ingen lag säger tydligt vem som hade skyldighet att göra vad. Det skapar ett system utan ansvarsutkrävande, vilket i sin tur tar bort incitamenten att prioritera säkerhet från början.

Bilden ser ungefär likadan ut oavsett var i världen produkten tillverkas:

• Säkerhetstestning görs sent i utvecklingsprocessen, om alls
• Produkter lanseras med känd sårbar mjukvara för att hålla tidsplanen
• Uppdateringar uteblir efter några år när produkten anses vara i slutet av sin livscykel
• Tillverkare av billigare märken saknar ofta resurser eller kompetens för löpande säkerhetsarbete
• Certifieringskrav varierar kraftigt mellan marknader, vilket skapar kryphål

Europa börjar ställa krav

Det finns trots allt tecken på förändring. EU har infört Cyber Resilience Act, ett regelverk som börjar få genomslag och som ställer konkreta säkerhetskrav på uppkopplade produkter som säljs inom unionen. Tillverkare kommer framöver att tvingas erbjuda säkerhetsuppdateringar under en definierad tid och vara transparenta med kända sårbarheter. Det är ett betydande steg, men regelverket är nytt och hur det efterlevs i praktiken återstår att se. Många produkter som redan finns i hem runtom i Europa faller utanför, eftersom de köptes innan reglerna trädde i kraft.

Problemet är alltså inte att lösningarna saknas. Det är att marknaden under lång tid inte har haft anledning att använda dem.

Så skyddar du dig – utan att bli tekniker

Det kan kännas överväldigande att läsa om alla sätt ett smart hem kan hackas. Men det goda är att de vanligaste attackerna också är de enklaste att skydda sig mot. Du behöver inte vara tekniker för att göra ditt hem betydligt svårare att ta sig in i.

Börja med det mest uppenbara

Det första och viktigaste steget är att byta standardlösenord på alla dina enheter, inklusive routern. Det låter självklart, men som vi sett är det just det här steget som de flesta hoppar över. Ett starkt lösenord behöver inte vara krångligt att komma ihåg, det behöver bara vara unikt och inte vara det som stod i manualen. Använd gärna en lösenordshanterare om du har många enheter att hålla reda på. Det tar tio minuter att göra rätt från början och kan spara dig enorma problem längre fram.

Nätverket som skyddar allt annat

En av de mest effektiva åtgärderna är att skapa ett separat nätverk för dina smarta enheter, skilt från det nätverk där du surfar och hanterar känslig information. De flesta moderna routrar stöder något som kallas gästnätverk, och det fungerar utmärkt för just det här ändamålet. Om en smart enhet skulle komprometteras är skadan då begränsad till det nätverket, utan direkt väg vidare till din dator eller telefon. Det är som att låsa in besökare i hallen istället för att ge dem tillgång till hela huset.

Utöver det finns det några grundläggande vanor som gör stor skillnad:

• Uppdatera mjukvaran på alla enheter så snart uppdateringar finns tillgängliga
• Ta bort enheter från nätverket som inte längre används eller stöds av tillverkaren
• Kontrollera vilka behörigheter appar kopplade till dina enheter har och begränsa dem
• Stäng av funktioner du inte använder, som fjärråtkomst, om du inte aktivt behöver dem
• Välj produkter från tillverkare som tydligt kommunicerar hur länge säkerhetsuppdateringar erbjuds

Sunt förnuft som säkerhetsstrategi

Det finns en tendens att tänka på cybersäkerhet som något extremt tekniskt, något som kräver djup kunskap och avancerade verktyg. Men de flesta framgångsrika attacker mot smarta hem utnyttjar inte sofistikerade sårbarheter, de utnyttjar slarv och ouppmärksamhet. Det betyder att du med ganska enkla medel kan göra dig till ett betydligt mindre attraktivt mål. Hackare, precis som tjuvar, väljer oftast den enklaste vägen. Om din dörr är svårare att öppna än grannens, letar de vidare.

Smarta hem behöver inte vara osäkra hem. Men säkerhet kräver att du faktiskt tänker på det, åtminstone en gång, och helst redan när du packar upp en ny pryl ur kartongen.