Специалисты компаний Dark Cubed и Pepper IoT провели анализ 12 устройств Интернета вещей и пришли к выводу, что многие из них имеют проблемы, связанные с безопасностью. В частности, аналитики отметили слабое шифрование данных, вшитые пароли по умолчанию и требование избыточных разрешений Android-приложениями для управления гаджетами. Эксперты не связывались с производителями уязвимых устройств до публикации и взяли на себя ответственность за достоверность обнародованных сведений.

Исследование затронуло умные розетки, IP-камеры, системы безопасности и другое оборудование следующих производителей:

• 
  
• iHome
  
• Merkury
  
• Momentum
  
• Oco
  
• Practecol
  
• TP-Link
  
• Vivitar
  
• Wyze
  
• Zmodo

Специалисты проанализировали пакеты данных, которые получают и передают IoT-устройства, изучили их политику конфиденциальности и провели исследование Android-приложений для управления приборами.

Как утверждают эксперты, некоторые из изученных устройств не полностью шифруют передаваемые данные либо имеют ненадежную реализацию такой защиты. Например, IoT-решения Merkury не кодируют сетевой трафик, открывая для злоумышленников сведения о передаваемых запросах, а также имена и пароли, необходимые для доступа к ним.

Эксперты отмечают, что камеры Guardzilla и Zmodo не выполняют проверку действительности сертификата шифрования для защищенных соединений. А устройства Guardzilla, кроме того, содержат вшитые пароли по умолчанию. Об этой же уязвимости в конце декабря прошлого года сообщали специалисты проекта 0DayAllDay. Как заявили аналитики, они передали производителю систем видеонаблюдения информацию о проблеме, но не получили ответа.

Исследователи из Dark Cubed и Pepper IoT указывают, что шесть из девяти вендоров выпускают IoT-устройства, чувствительные к атаке «человек посередине». По словам ИБ-специалистов, у них не возникло вопросов лишь к безопасности IP-камеры Momentum Axel, а также умных розеток iHome Smart Outlet и TP-Link Kasa Smart Outlet.

Особое внимание эксперты обратили на избыточные разрешения, запрашиваемые мобильными приложениями для управления устройствами. Так, Android-программа светильника Merkury требует доступа к геолокации, записи звука, а также операциям с файлами в памяти телефона. Кроме того, исследователи обнаружили, что код приложения содержит вшитые ссылки на 40 сторонних веб-сайтов, таких как Alibaba, Taobao, QQ, Facebook, Twitter и Weibo.

«Приложение светильника Merkury требует от пользователя доступа к его местоположению и отправляет зашифрованную информацию на серверы в Китае», — отметил генеральный директор Dark Cubed Винс Крислер (Vince Crisler).

В случае с программой для управления камерой Zmodo исследователи смогли получить доступ к конфиденциальным данным пользователя устройства, включая адрес электронной почты, фотографию, дату рождения и номер телефона.

«Хотя производители способны самостоятельно исправить свои продукты и устранить многие из имеющихся в них недостатков, они начинают действовать лишь тогда, когда ИБ-специалисты обнаруживают бреши, — указывают эксперты Dark Cubed и Pepper IoT. — Однако такой реактивный подход не работает, поскольку меры безопасности должны быть упреждающими».

@altblitz взял в руки гвоздики и пошел методом тыка исследовать 2 бреши в розетке

чтобы доказать, что он умнее розетки

Пиздаболишко!

У Блиц есть аппарат для проверки линий трёх фаз в квартире.

Чтобы не задеть их при установке лампочки Ильича нового светильника.

В квартирах трехфазная проводка запрещена. Не ври.

третья - это его личная, сдвинутая )))

п.с. по теме жутковатая ситуация 0_о ладно там дефолт-пароли, хттп нешифрованный и старый SNMP...но блять слать в китай аудио o_0

любители всякого китайского говна, бойтесь )) и режьте траф в файрволах\на рутере, ессесенно

я вон когда-то покупал дешманский кетай-плеер для бега\походов\путешествий...� �ак я его заряжал только зарядкой (не от компа) и несмотря на то что он опознаваться должен как картридер ни разу это говно не решился подключить к компу )))

Разрешена.

В 16-этажках Наб. Челнов и двух этажных особняках Дикого Цивилизованного Запада.

Блиц, осмотрел всю электропроводку у себя в особняке, с автоматами, пронумерованными от A до J на центральном пульте управления.

Пруфы давай.

Трехфазная проводка разрешена только в частных домах. В многоквартирных домах запрещена.

Опять врешь. У тебя допуска к электро оборудованию нет, тебя никто не пустит.

Если хочешь врать иди в болталку, тут нечего срачь разводить.

Три фазы дома - однако.

У Блиц - есть Proove.

Показываю ТРЁХ ФАЗНУЮ РОЗЕТКУ и панель с электро-разводкой в современном многоквартирном доме 2009 года постройки.

Йожык, стирает мне носки до конца своей жизни.

Принял условия технического спора джентльменов, хуесос?

Ты лучше мозги покажи! Розетку и я тебе могу показать!

Тебе дураку говорят, что запрещена трехфазная разводка в квартирах. Где пруфы обмылок?