Přeskočit na obsah
OwlGuardScore

Bezpečnost chytré domácnosti (IoT)

Kamery, asistenti, žárovky. Kdy ti pomohou a kdy z tebe udělají otevřenou knihu.

Co to je

Chytrá zařízení (kamery, asistenti jako Alexa/Google Home, termostaty, robotické vysavače, žárovky) se připojují do tvé domácí Wi-Fi a často i do cloudu výrobce. Bez správného nastavení mohou: (1) posílat data o tobě výrobci — pohybové vzorce, hlasové nahrávky, půdorys bytu, (2) být přístupná z internetu kdokoli s default přihlašovacími údaji, (3) sloužit jako vstupní bod do tvé domácí sítě, odkud útočník dosáhne i na laptop nebo NAS.

Proč to záleží

Čtyři kroky: (1) změň default hesla na všech zařízeních — přístup admin/admin je veřejná známost na všech IoT, (2) vypni funkce, které nepotřebuješ — vzdálený přístup z internetu, ukládání hlasových nahrávek, sdílení s third-party aplikacemi, (3) pravidelně aktualizuj firmware (zapnout auto-update tam, kde jde), (4) ideálně zařízení v oddělené Wi-Fi síti (guest network nebo VLAN) — když se jedno zařízení kompromituje, neotevře útočníkovi cestu k tvým osobním zařízením.

Jak útok funguje

IoT zařízení mají typicky 3 slabiny, které útočníci využívají:

1. Default hesla a otevřené porty

  • Kamera, NAS, router, smart termostat — všechno přichází z fabriky s default credentials (admin/admin, admin/password, root/12345). Veřejné databáze (Shodan.io) indexují MILIONY zařízení s neměněnými defaulty.
  • Útočník na Shodan jednou vyhledá "Hikvision camera Czech Republic", dostane seznam IP adres. Zkusí default password. Kolem 30-50% má neměněné = volný přístup.

2. Neudržovaný firmware

  • IoT zařízení často nedostávají updates. Levné kamery / žárovky z AliExpressu mají firmware z roku 2020, žádné aktualizace. Známé CVE (zranitelnosti) jsou veřejné, útočník je jen použije.
  • Botnety (Mirai, BotenaGo) skenují internet po těchto zařízeních, infikují je, zapojují do DDoS útoků. Tvoje kamera se stane součástí útoku proti někomu jinému.

3. Cloud služby výrobce

  • Mnoho IoT komunikuje přes cloud výrobce. Když výrobce má únik dat (např. Wyze 2022, Eufy 2023), útočník získá tvoje credentials k IoT.
  • Některé cloudy hostují fotografie / videa nezašifrovaná — výrobce technicky vidí, co kamera natáčí. Eufy 2022 byl chycen, že posílá náhled obrázků nezašifrovaný.

Praktické scénáře útoku:

Scénář A: Hacknutá kamera

  • Default heslo "admin/12345" → útočník se připojí přes internet.
  • Sleduje, kdy nejsi doma (z přímého feedu).
  • Pošle obrázky tvého interiéru ven (případný insider info pro vloupání).
  • Pokud má kamera mikrofon → odposlech.

Scénář B: Lateral movement přes IoT do hlavní sítě

  • Útočník přes Wi-Fi kompromituje žárovku / chytrou zástrčku (neměněný firmware, default heslo).
  • Z žárovky skenuje tvoji domácí síť (lateral movement) → najde NAS, laptop, soubory.
  • Pokud NAS nemá samostatné heslo → kompromituje i tvá data.

Scénář C: Smart asistent (Alexa, Google Home)

  • Asistent stojí v obýváku, slyší vše.
  • Některé útoky používají ultrasonic commands (frekvence mimo lidský sluch) — asistent reaguje, ty neslyšíš.
  • Únik z cloudu výrobce → tvoje hlasové nahrávky externí straně.

Scénář D: Robotický vysavač s LIDAR

  • Vysavač mapuje půdorys bytu (LIDAR).
  • Mapa se posílá do cloudu výrobce. Jsi sledovaný v topologii svého bytu.
  • Cloud únik → útočník zná, kde co máš.

Scénář E: Smart termostat / energie

  • Útočník vidí, kdy doma topíš / svítíš → kdy jsi doma, kdy ne.
  • Pro vykrádač cenná informace.

Jak se chránit

Třídění IoT zařízení podle rizika:

KategorieRizikoStrategie
Kamera s mikrofonem / hlasový asistent🔴 VysokéHardening + isolated network
Smart zámek / alarm🔴 VysokéPremium značka + 2FA + isolated network
Smart termostat / IoT v EU certifikace🟡 StředníHardening + auto-update
Smart žárovky, zásuvky, sensory🟢 NízkéDefault cleanup + isolated network
TV / streaming box🟡 StředníUpdates + privacy options

Hardening — 5 kroků:

1. Změň default hesla na VŠEM

  • Router admin panel: ne admin/admin. Silné heslo (20+ znaků) v password-manageru.
  • Wi-Fi heslo: jednoznačné, neuhádnutelné.
  • Každé IoT zařízení: vlastní účet, vlastní heslo.

2. Aktualizuj firmware

  • Router: zkontroluj 1× měsíčně dostupnost firmware update.
  • Kamery / asistenti: auto-update ON, kde dostupné.
  • Pokud zařízení nemá update 12+ měsíců → vyhodit (skutečně, kupit nové od značky, která maintenuje).

3. Oddělená Wi-Fi síť pro IoT

  • Většina routerů umí Guest Network — vytvoř IoT-only Wi-Fi (jiné SSID a heslo).
  • Pokud máš router schopný VLAN (Mikrotik, Unifi, OpenWrt), dej IoT do separate VLAN bez přístupu k tvým zařízením.
  • Když se IoT kompromituje, nedosáhne na laptop/NAS.

4. Disable nepotřebné funkce

  • Vzdálený přístup z internetu — typicky vypnout pokud nepotřebuješ. Pro kameru: jen přes výrobcovu aplikaci s 2FA, ne přímé port forwarding.
  • Voice recording — Alexa/Google Home má v Nastavení vypnout "ukládání nahrávek". Smaž historii pravidelně.
  • Cloud share — pokud výrobce nabízí share kamery / asistenta s 3rd party → vypnout.
  • UPnP na routeru — vypnout (otevírá porty automaticky bez tvého vědomí).

5. Volba značek

  • Premium značky (Aqara, Eufy s lokálním storage, Reolink, Bosch) mají lepší security praxe a delší support window.
  • Vyhnout se levným no-name brand z AliExpressu, Wishe, Temu — žádné updates, často kompromitované od fabriky.
  • Open source firmware (Home Assistant + locally controlled devices) je nejlepší volba pro experty.

Specifické rady:

Kamery:

  • Lokální storage (SD karta) > cloud, kde to jde.
  • Pokud cloud, vybrat značku s E2E encrypted video (Eufy, Apple HomeKit Secure Video).
  • Žádná kamera v ložnici / koupelně / dětském pokoji bez extrémní úvahy.

Hlasoví asistenti:

  • Vypnout v citlivých prostorech (ložnice, pracovna, podnikací jednání).
  • Pravidelně mazat historii nahrávek (Settings → Privacy).
  • Apple HomePod má lepší privacy (Siri processing on-device, ne cloud) než Alexa / Google Home.

Smart zámek:

  • Použít jen pokud má fyzický klíč jako fallback (pokud se elektronika rozbije, dostaneš se dovnitř).
  • Vyhnout se zámkům s "Auto-unlock" na GPS — útočník může simulovat tvoji polohu.

Router:

  • Vlastní router, ne ten od ISP (ISP routery často mají hidden backdoors pro support).
  • WPA3 enkrypce (WPA2 jako fallback pro starší zařízení).
  • Disable WPS (slabé PIN-based pairing).
  • 1× měsíčně check firmware update.

Lokálně řízená alternativa:

  • Home Assistant — open source, běží lokálně (na Raspberry Pi). Většina IoT lze přes něj řídit bez cloudu výrobce. Pokročilejší setup, ale maximální privacy.
  • Matter / Thread standard — moderní IoT standard s lokální komunikací bez cloud roundtrip. Apple, Google, Amazon ho podporují.

Audit (1× ročně):

  • Projít všechna IoT zařízení, jsou ještě v provozu?
  • Mají firmware update? Auto-update funguje?
  • Defaultní účet zrušený?
  • Co nepotřebuješ → odpojit, vyřadit.

Časté mýty

  • Mýtus"Moje zařízení jsou levná a stará — útočníka to nezajímá."

    RealitaÚtočníka zajímají **přesně tato** zařízení. Staré IoT bez updates = nejlehčí cíl. Botnety (Mirai) skenují internet a zapojují tato zařízení do DDoS útoků. Tvoje kamera nebo router se stanou součástí útoku proti komukoli jinému. Plus přístup do tvé sítě = lateral movement na laptop, NAS, smartphone.

  • Mýtus"Smart asistent (Alexa / Google Home) poslouchá jen, když řeknu wake word."

    RealitaOficiálně ano. Realita: studie ukázaly, že asistenti pravidelně **false triggery** — slovo podobné wake word (např. "Alexis" pro "Alexa") spustí nahrávání. Tyto nahrávky jdou do cloudu výrobce. Některé byly leakované zaměstnanci (Amazon 2019). Pokud máš asistent v citlivém prostoru — vypnout mikrofon (fyzický spínač) nebo nevyužívat vůbec.

  • Mýtus"Změním heslo na routeru a jsem v bezpečí."

    RealitaHeslo routeru je první krok, ale ne poslední. IoT zařízení mezi sebou komunikují **na úrovni Wi-Fi**, ne přes router heslo. Pokud máš kameru s default password ve své Wi-Fi, útočník, který kdykoli kompromituje **jedno** zařízení, dosáhne na ostatní. Segmentace sítě (Guest network / VLAN) je nezbytný druhý krok.

Quick checklist

Setup (jednou):

  • Router admin password změnit z default na silné.
  • Wi-Fi heslo silné a v password manageru.
  • Guest Network vytvořit pro IoT (kde router umí).
  • WPA3 zapnutá (fallback WPA2).
  • WPS vypnutý, UPnP vypnutý.

Pro každé IoT zařízení:

  • Default credentials → změnit na unikátní silné.
  • Auto-update firmware ON.
  • Vzdálený přístup z internetu vypnutý (pokud nepotřebuju).
  • Připojit do IoT Wi-Fi (Guest network), ne hlavní.

Specifické citlivé:

  • Kamery s mikrofony — žádné v ložnici / dětském pokoji.
  • Hlasový asistent — vypnout v citlivém prostoru, smazat historii.
  • Smart zámek — fyzický klíč jako fallback.
  • Robotický vysavač — pokud LIDAR, zvážit lokální Home Assistant.

Údržba (1× měsíčně):

  • Router firmware update check.
  • Smart asistent — smazat historii nahrávek.

Audit (1× ročně):

  • Projít všechna IoT, zařízení starší 3 roky bez update → vyhodit.
  • Procházet účty u IoT cloudech, zrušit nepoužívané.

Při kompromitaci:

  • Odpojit zařízení od sítě.
  • Faktory reset.
  • Pokud potřebuju → znovu nasadit s novými credentials a segmentací.

Podobná témata

Souvisí s kategoriemi v testu: Smart zařízení a IoT, Hlasoví asistenti a soukromí, Domácí WiFi a router

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.