ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Специалисты компаний Dark Cubed и Pepper IoT провели анализ 12 устройств Интернета вещей и пришли к выводу, что многие из них имеют проблемы, связанные с безопасностью. В частности, аналитики отметили слабое шифрование данных, вшитые пароли по умолчанию и требование избыточных разрешений Android-приложениями для управления гаджетами. Эксперты не связывались с производителями уязвимых устройств до публикации и взяли на себя ответственность за достоверность обнародованных сведений.

Исследование затронуло умные розетки, IP-камеры, системы безопасности и другое оборудование следующих производителей:

• 
  
• iHome
  
• Merkury
  
• Momentum
  
• Oco
  
• Practecol
  
• TP-Link
  
• Vivitar
  
• Wyze
  
• Zmodo

Специалисты проанализировали пакеты данных, которые получают и передают IoT-устройства, изучили их политику конфиденциальности и провели исследование Android-приложений для управления приборами.

Как утверждают эксперты, некоторые из изученных устройств не полностью шифруют передаваемые данные либо имеют ненадежную реализацию такой защиты. Например, IoT-решения Merkury не кодируют сетевой трафик, открывая для злоумышленников сведения о передаваемых запросах, а также имена и пароли, необходимые для доступа к ним.

Эксперты отмечают, что камеры Guardzilla и Zmodo не выполняют проверку действительности сертификата шифрования для защищенных соединений. А устройства Guardzilla, кроме того, содержат вшитые пароли по умолчанию. Об этой же уязвимости в конце декабря прошлого года сообщали специалисты проекта 0DayAllDay. Как заявили аналитики, они передали производителю систем видеонаблюдения информацию о проблеме, но не получили ответа.

Исследователи из Dark Cubed и Pepper IoT указывают, что шесть из девяти вендоров выпускают IoT-устройства, чувствительные к атаке «человек посередине». По словам ИБ-специалистов, у них не возникло вопросов лишь к безопасности IP-камеры Momentum Axel, а также умных розеток iHome Smart Outlet и TP-Link Kasa Smart Outlet.

Особое внимание эксперты обратили на избыточные разрешения, запрашиваемые мобильными приложениями для управления устройствами. Так, Android-программа светильника Merkury требует доступа к геолокации, записи звука, а также операциям с файлами в памяти телефона. Кроме того, исследователи обнаружили, что код приложения содержит вшитые ссылки на 40 сторонних веб-сайтов, таких как Alibaba, Taobao, QQ, Facebook, Twitter и Weibo.

«Приложение светильника Merkury требует от пользователя доступа к его местоположению и отправляет зашифрованную информацию на серверы в Китае», — отметил генеральный директор Dark Cubed Винс Крислер (Vince Crisler).

В случае с программой для управления камерой Zmodo исследователи смогли получить доступ к конфиденциальным данным пользователя устройства, включая адрес электронной почты, фотографию, дату рождения и номер телефона.

«Хотя производители способны самостоятельно исправить свои продукты и устранить многие из имеющихся в них недостатков, они начинают действовать лишь тогда, когда ИБ-специалисты обнаруживают бреши, — указывают эксперты Dark Cubed и Pepper IoT. — Однако такой реактивный подход не работает, поскольку меры безопасности должны быть упреждающими».