Bezpečnost chytré domácnosti (IoT)
Kamery, asistenti, žárovky. Kdy ti pomohou a kdy z tebe udělají otevřenou knihu.
Co to je
Chytrá zařízení (kamery, asistenti jako Alexa/Google Home, termostaty, robotické vysavače, žárovky) se připojují do tvé domácí Wi-Fi a často i do cloudu výrobce. Bez správného nastavení mohou: (1) posílat data o tobě výrobci — pohybové vzorce, hlasové nahrávky, půdorys bytu, (2) být přístupná z internetu kdokoli s default přihlašovacími údaji, (3) sloužit jako vstupní bod do tvé domácí sítě, odkud útočník dosáhne i na laptop nebo NAS.
Proč to záleží
Čtyři kroky: (1) změň default hesla na všech zařízeních — přístup admin/admin je veřejná známost na všech IoT, (2) vypni funkce, které nepotřebuješ — vzdálený přístup z internetu, ukládání hlasových nahrávek, sdílení s third-party aplikacemi, (3) pravidelně aktualizuj firmware (zapnout auto-update tam, kde jde), (4) ideálně zařízení v oddělené Wi-Fi síti (guest network nebo VLAN) — když se jedno zařízení kompromituje, neotevře útočníkovi cestu k tvým osobním zařízením.
Jak útok funguje
IoT zařízení mají typicky 3 slabiny, které útočníci využívají:
1. Default hesla a otevřené porty
- Kamera, NAS, router, smart termostat — všechno přichází z fabriky s default credentials (admin/admin, admin/password, root/12345). Veřejné databáze (Shodan.io) indexují MILIONY zařízení s neměněnými defaulty.
- Útočník na Shodan jednou vyhledá "Hikvision camera Czech Republic", dostane seznam IP adres. Zkusí default password. Kolem 30-50% má neměněné = volný přístup.
2. Neudržovaný firmware
- IoT zařízení často nedostávají updates. Levné kamery / žárovky z AliExpressu mají firmware z roku 2020, žádné aktualizace. Známé CVE (zranitelnosti) jsou veřejné, útočník je jen použije.
- Botnety (Mirai, BotenaGo) skenují internet po těchto zařízeních, infikují je, zapojují do DDoS útoků. Tvoje kamera se stane součástí útoku proti někomu jinému.
3. Cloud služby výrobce
- Mnoho IoT komunikuje přes cloud výrobce. Když výrobce má únik dat (např. Wyze 2022, Eufy 2023), útočník získá tvoje credentials k IoT.
- Některé cloudy hostují fotografie / videa nezašifrovaná — výrobce technicky vidí, co kamera natáčí. Eufy 2022 byl chycen, že posílá náhled obrázků nezašifrovaný.
Praktické scénáře útoku:
Scénář A: Hacknutá kamera
- Default heslo "admin/12345" → útočník se připojí přes internet.
- Sleduje, kdy nejsi doma (z přímého feedu).
- Pošle obrázky tvého interiéru ven (případný insider info pro vloupání).
- Pokud má kamera mikrofon → odposlech.
Scénář B: Lateral movement přes IoT do hlavní sítě
- Útočník přes Wi-Fi kompromituje žárovku / chytrou zástrčku (neměněný firmware, default heslo).
- Z žárovky skenuje tvoji domácí síť (lateral movement) → najde NAS, laptop, soubory.
- Pokud NAS nemá samostatné heslo → kompromituje i tvá data.
Scénář C: Smart asistent (Alexa, Google Home)
- Asistent stojí v obýváku, slyší vše.
- Některé útoky používají ultrasonic commands (frekvence mimo lidský sluch) — asistent reaguje, ty neslyšíš.
- Únik z cloudu výrobce → tvoje hlasové nahrávky externí straně.
Scénář D: Robotický vysavač s LIDAR
- Vysavač mapuje půdorys bytu (LIDAR).
- Mapa se posílá do cloudu výrobce. Jsi sledovaný v topologii svého bytu.
- Cloud únik → útočník zná, kde co máš.
Scénář E: Smart termostat / energie
- Útočník vidí, kdy doma topíš / svítíš → kdy jsi doma, kdy ne.
- Pro vykrádač cenná informace.
Jak se chránit
Třídění IoT zařízení podle rizika:
| Kategorie | Riziko | Strategie |
|---|---|---|
| Kamera s mikrofonem / hlasový asistent | 🔴 Vysoké | Hardening + isolated network |
| Smart zámek / alarm | 🔴 Vysoké | Premium značka + 2FA + isolated network |
| Smart termostat / IoT v EU certifikace | 🟡 Střední | Hardening + auto-update |
| Smart žárovky, zásuvky, sensory | 🟢 Nízké | Default cleanup + isolated network |
| TV / streaming box | 🟡 Střední | Updates + privacy options |
Hardening — 5 kroků:
1. Změň default hesla na VŠEM
- Router admin panel: ne admin/admin. Silné heslo (20+ znaků) v password-manageru.
- Wi-Fi heslo: jednoznačné, neuhádnutelné.
- Každé IoT zařízení: vlastní účet, vlastní heslo.
2. Aktualizuj firmware
- Router: zkontroluj 1× měsíčně dostupnost firmware update.
- Kamery / asistenti: auto-update ON, kde dostupné.
- Pokud zařízení nemá update 12+ měsíců → vyhodit (skutečně, kupit nové od značky, která maintenuje).
3. Oddělená Wi-Fi síť pro IoT
- Většina routerů umí Guest Network — vytvoř IoT-only Wi-Fi (jiné SSID a heslo).
- Pokud máš router schopný VLAN (Mikrotik, Unifi, OpenWrt), dej IoT do separate VLAN bez přístupu k tvým zařízením.
- Když se IoT kompromituje, nedosáhne na laptop/NAS.
4. Disable nepotřebné funkce
- Vzdálený přístup z internetu — typicky vypnout pokud nepotřebuješ. Pro kameru: jen přes výrobcovu aplikaci s 2FA, ne přímé port forwarding.
- Voice recording — Alexa/Google Home má v Nastavení vypnout "ukládání nahrávek". Smaž historii pravidelně.
- Cloud share — pokud výrobce nabízí share kamery / asistenta s 3rd party → vypnout.
- UPnP na routeru — vypnout (otevírá porty automaticky bez tvého vědomí).
5. Volba značek
- Premium značky (Aqara, Eufy s lokálním storage, Reolink, Bosch) mají lepší security praxe a delší support window.
- Vyhnout se levným no-name brand z AliExpressu, Wishe, Temu — žádné updates, často kompromitované od fabriky.
- Open source firmware (Home Assistant + locally controlled devices) je nejlepší volba pro experty.
Specifické rady:
Kamery:
- Lokální storage (SD karta) > cloud, kde to jde.
- Pokud cloud, vybrat značku s E2E encrypted video (Eufy, Apple HomeKit Secure Video).
- Žádná kamera v ložnici / koupelně / dětském pokoji bez extrémní úvahy.
Hlasoví asistenti:
- Vypnout v citlivých prostorech (ložnice, pracovna, podnikací jednání).
- Pravidelně mazat historii nahrávek (Settings → Privacy).
- Apple HomePod má lepší privacy (Siri processing on-device, ne cloud) než Alexa / Google Home.
Smart zámek:
- Použít jen pokud má fyzický klíč jako fallback (pokud se elektronika rozbije, dostaneš se dovnitř).
- Vyhnout se zámkům s "Auto-unlock" na GPS — útočník může simulovat tvoji polohu.
Router:
- Vlastní router, ne ten od ISP (ISP routery často mají hidden backdoors pro support).
- WPA3 enkrypce (WPA2 jako fallback pro starší zařízení).
- Disable WPS (slabé PIN-based pairing).
- 1× měsíčně check firmware update.
Lokálně řízená alternativa:
- Home Assistant — open source, běží lokálně (na Raspberry Pi). Většina IoT lze přes něj řídit bez cloudu výrobce. Pokročilejší setup, ale maximální privacy.
- Matter / Thread standard — moderní IoT standard s lokální komunikací bez cloud roundtrip. Apple, Google, Amazon ho podporují.
Audit (1× ročně):
- Projít všechna IoT zařízení, jsou ještě v provozu?
- Mají firmware update? Auto-update funguje?
- Defaultní účet zrušený?
- Co nepotřebuješ → odpojit, vyřadit.
Časté mýty
Mýtus"Moje zařízení jsou levná a stará — útočníka to nezajímá."
RealitaÚtočníka zajímají **přesně tato** zařízení. Staré IoT bez updates = nejlehčí cíl. Botnety (Mirai) skenují internet a zapojují tato zařízení do DDoS útoků. Tvoje kamera nebo router se stanou součástí útoku proti komukoli jinému. Plus přístup do tvé sítě = lateral movement na laptop, NAS, smartphone.
Mýtus"Smart asistent (Alexa / Google Home) poslouchá jen, když řeknu wake word."
RealitaOficiálně ano. Realita: studie ukázaly, že asistenti pravidelně **false triggery** — slovo podobné wake word (např. "Alexis" pro "Alexa") spustí nahrávání. Tyto nahrávky jdou do cloudu výrobce. Některé byly leakované zaměstnanci (Amazon 2019). Pokud máš asistent v citlivém prostoru — vypnout mikrofon (fyzický spínač) nebo nevyužívat vůbec.
Mýtus"Změním heslo na routeru a jsem v bezpečí."
RealitaHeslo routeru je první krok, ale ne poslední. IoT zařízení mezi sebou komunikují **na úrovni Wi-Fi**, ne přes router heslo. Pokud máš kameru s default password ve své Wi-Fi, útočník, který kdykoli kompromituje **jedno** zařízení, dosáhne na ostatní. Segmentace sítě (Guest network / VLAN) je nezbytný druhý krok.
Quick checklist
Setup (jednou):
- Router admin password změnit z default na silné.
- Wi-Fi heslo silné a v password manageru.
- Guest Network vytvořit pro IoT (kde router umí).
- WPA3 zapnutá (fallback WPA2).
- WPS vypnutý, UPnP vypnutý.
Pro každé IoT zařízení:
- Default credentials → změnit na unikátní silné.
- Auto-update firmware ON.
- Vzdálený přístup z internetu vypnutý (pokud nepotřebuju).
- Připojit do IoT Wi-Fi (Guest network), ne hlavní.
Specifické citlivé:
- Kamery s mikrofony — žádné v ložnici / dětském pokoji.
- Hlasový asistent — vypnout v citlivém prostoru, smazat historii.
- Smart zámek — fyzický klíč jako fallback.
- Robotický vysavač — pokud LIDAR, zvážit lokální Home Assistant.
Údržba (1× měsíčně):
- Router firmware update check.
- Smart asistent — smazat historii nahrávek.
Audit (1× ročně):
- Projít všechna IoT, zařízení starší 3 roky bez update → vyhodit.
- Procházet účty u IoT cloudech, zrušit nepoužívané.
Při kompromitaci:
- Odpojit zařízení od sítě.
- Faktory reset.
- Pokud potřebuju → znovu nasadit s novými credentials a segmentací.
Podobná témata
- End-to-end šifrování (E2EE)Číst zprávu může jen ten, komu je určená — ani provozovatel služby ne.
- Zálohovací strategie — pravidlo 3-2-1Tři kopie, dva nosiče, jedna mimo lokalitu. Pravidlo, které přežije i požár bytu.
- Veřejná Wi-Fi — jak ji používat bezpečněKavárna, hotel, letiště. Co dělat, abys nevyzradil nic ostatním na síti.
Souvisí s kategoriemi v testu: Smart zařízení a IoT, Hlasoví asistenti a soukromí, Domácí WiFi a router
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.