Suicide
30.01.2019, 20:22
Специалисты компаний Dark Cubed и Pepper IoT провели анализ (https://threatpost.com/researchers-allege-systemic-privacy-security-flaws-in-popular-iot-devices/141244/) 12 устройств Интернета вещей и пришли к выводу, что многие из них имеют проблемы, связанные с безопасностью. В частности, аналитики отметили слабое шифрование данных, вшитые пароли по умолчанию и требование избыточных разрешений Android-приложениями для управления гаджетами. Эксперты не связывались с производителями уязвимых устройств до публикации и взяли на себя ответственность за достоверность обнародованных сведений.
Исследование затронуло умные розетки, IP-камеры, системы безопасности и другое оборудование следующих производителей:
iHome
Merkury
Momentum
Oco
Practecol
TP-Link
Vivitar
Wyze
Zmodo
Специалисты проанализировали пакеты данных, которые получают и передают IoT-устройства, изучили их политику конфиденциальности и провели исследование Android-приложений для управления приборами.
Как утверждают эксперты, некоторые из изученных устройств не полностью шифруют передаваемые данные либо имеют ненадежную реализацию такой защиты. Например, IoT-решения Merkury не кодируют сетевой трафик, открывая для злоумышленников сведения о передаваемых запросах, а также имена и пароли, необходимые для доступа к ним.
Эксперты отмечают, что камеры Guardzilla и Zmodo не выполняют проверку действительности сертификата шифрования для защищенных соединений. А устройства Guardzilla, кроме того, содержат вшитые пароли по умолчанию. Об этой же уязвимости в конце декабря прошлого года сообщали (https://threatpost.ru/guardzilla-cams-have-hardcoded-passwords-from-amazon-s3-buckets-with-users-video/30345/) специалисты проекта 0DayAllDay. Как заявили аналитики, они передали производителю систем видеонаблюдения информацию о проблеме, но не получили ответа.
Исследователи из Dark Cubed и Pepper IoT указывают, что шесть из девяти вендоров выпускают IoT-устройства, чувствительные к атаке «человек посередине». По словам ИБ-специалистов, у них не возникло вопросов лишь к безопасности IP-камеры Momentum Axel, а также умных розеток iHome Smart Outlet и TP-Link Kasa Smart Outlet.
Особое внимание эксперты обратили на избыточные разрешения, запрашиваемые мобильными приложениями для управления устройствами. Так, Android-программа светильника Merkury требует доступа к геолокации, записи звука, а также операциям с файлами в памяти телефона. Кроме того, исследователи обнаружили, что код приложения содержит вшитые ссылки на 40 сторонних веб-сайтов, таких как Alibaba, Taobao, QQ, Facebook, Twitter и Weibo.
«Приложение светильника Merkury требует от пользователя доступа к его местоположению и отправляет зашифрованную информацию на серверы в Китае», — отметил генеральный директор Dark Cubed Винс Крислер (Vince Crisler).
В случае с программой для управления камерой Zmodo исследователи смогли получить доступ к конфиденциальным данным пользователя устройства, включая адрес электронной почты, фотографию, дату рождения и номер телефона.
«Хотя производители способны самостоятельно исправить свои продукты и устранить многие из имеющихся в них недостатков, они начинают действовать лишь тогда, когда ИБ-специалисты обнаруживают бреши, — указывают эксперты Dark Cubed и Pepper IoT. — Однако такой реактивный подход не работает, поскольку меры безопасности должны быть упреждающими».
30.01.2019
https://threatpost.ru/experts-found-security-issues-in-iot-devices/30786/
Исследование затронуло умные розетки, IP-камеры, системы безопасности и другое оборудование следующих производителей:
iHome
Merkury
Momentum
Oco
Practecol
TP-Link
Vivitar
Wyze
Zmodo
Специалисты проанализировали пакеты данных, которые получают и передают IoT-устройства, изучили их политику конфиденциальности и провели исследование Android-приложений для управления приборами.
Как утверждают эксперты, некоторые из изученных устройств не полностью шифруют передаваемые данные либо имеют ненадежную реализацию такой защиты. Например, IoT-решения Merkury не кодируют сетевой трафик, открывая для злоумышленников сведения о передаваемых запросах, а также имена и пароли, необходимые для доступа к ним.
Эксперты отмечают, что камеры Guardzilla и Zmodo не выполняют проверку действительности сертификата шифрования для защищенных соединений. А устройства Guardzilla, кроме того, содержат вшитые пароли по умолчанию. Об этой же уязвимости в конце декабря прошлого года сообщали (https://threatpost.ru/guardzilla-cams-have-hardcoded-passwords-from-amazon-s3-buckets-with-users-video/30345/) специалисты проекта 0DayAllDay. Как заявили аналитики, они передали производителю систем видеонаблюдения информацию о проблеме, но не получили ответа.
Исследователи из Dark Cubed и Pepper IoT указывают, что шесть из девяти вендоров выпускают IoT-устройства, чувствительные к атаке «человек посередине». По словам ИБ-специалистов, у них не возникло вопросов лишь к безопасности IP-камеры Momentum Axel, а также умных розеток iHome Smart Outlet и TP-Link Kasa Smart Outlet.
Особое внимание эксперты обратили на избыточные разрешения, запрашиваемые мобильными приложениями для управления устройствами. Так, Android-программа светильника Merkury требует доступа к геолокации, записи звука, а также операциям с файлами в памяти телефона. Кроме того, исследователи обнаружили, что код приложения содержит вшитые ссылки на 40 сторонних веб-сайтов, таких как Alibaba, Taobao, QQ, Facebook, Twitter и Weibo.
«Приложение светильника Merkury требует от пользователя доступа к его местоположению и отправляет зашифрованную информацию на серверы в Китае», — отметил генеральный директор Dark Cubed Винс Крислер (Vince Crisler).
В случае с программой для управления камерой Zmodo исследователи смогли получить доступ к конфиденциальным данным пользователя устройства, включая адрес электронной почты, фотографию, дату рождения и номер телефона.
«Хотя производители способны самостоятельно исправить свои продукты и устранить многие из имеющихся в них недостатков, они начинают действовать лишь тогда, когда ИБ-специалисты обнаруживают бреши, — указывают эксперты Dark Cubed и Pepper IoT. — Однако такой реактивный подход не работает, поскольку меры безопасности должны быть упреждающими».
30.01.2019
https://threatpost.ru/experts-found-security-issues-in-iot-devices/30786/