Умные часы плохо защищены от кибератак
Компания HP опубликовала результаты исследования безопасности Интернета вещей, согласно которым набирающие популярность умные часы представляют собой новый и пока плохо защищенный объект для кибератак. Проведенные подразделением HP Fortify эксперименты доказали: безопасность 100% протестированных умных часов под угрозой. В числе обнаруженных уязвимостей – недостаточно надежная аутентификация, отсутствие шифрования при передаче данных и проблемы конфиденциальности.
По мере развития Интернета вещей популярность умных часов будет расти параллельно с их возможностями и удобством использования. Они станут хранилищем для все более конфиденциальной информации, например медицинской, а за счет использования мобильных приложений с их помощью можно будет открывать автомобили и двери жилых домов.
При помощи программного решения HP Fortify on Demand сотрудники получили доступ к 10 умным часам, а также к их облакам и мобильным приложениям на платформах Android и iOS. В процессе был выявлен целый ряд проблем безопасности. В числе наиболее распространенных и легко решаемых проблем оказались следующие:
• Ненадежная аутентификация/авторизация пользователей. Подключение к сети всех протестированных умных часов осуществлялось без двухфакторной аутентификации и без блокировки учетной записи после 3–5 неудачных попыток ввести пароль. 3 из 10 часов были уязвимы для взлома и сбора учетных записей. Это значит, что за счет слабой политики паролей и отсутствия блокировки учетной записи хакер мог получить доступ к устройству и данным путем перебора пользователей.
• Отсутствие шифрования при передаче данных. Шифрование при передаче данных обязательно, учитывая, что персональная информация в это время переносится в различные местоположения в облаке. Хотя 100% протестированных продуктов использовали шифрование с помощью SSL/TLS, 40% соединений с облаком все еще уязвимы для атак типа POODLE, допускают применение ненадежного шифрования или до сих пор пользуются SSL v2.
• Незащищенные интерфейсы. В 30% проверенных умных часов применены облачные веб-интерфейсы – все они подвержены опасности взлома перебором учетных записей. В рамках дополнительного исследования мобильные приложения 30% часов обнаружилась уязвимость в этой же области. Она позволяет хакерам определять действующие учетные записи с помощью обратной связи от механизмов восстановления пароля.
• Незащищенное программное и микропрограммное обеспечение. У 7 из 10 часов обнаружены проблемы с защитой микропрограммных обновлений: они передавались без шифрования, и сами файлы не были зашифрованы. Впрочем, для защиты от установки зараженного микропрограммного обеспечения многие обновления были снабжены цифровой подписью, так что установить опасные обновления было бы невозможно – однако отсутствие шифрования делает возможным загрузку и анализ файлов злоумышленниками.
• Проблемы конфиденциальности. Все умные часы собирают персональную информацию о владельце: чаще всего имя, адрес, дату рождения, пол, массу тела, ЧСС и другую информацию о здоровье. Их безопасность оказывается под угрозой с учетом как возможности взлома путем перебора учетных записей, так и использования в ряде продуктов легко раскрываемых паролей.
Без гарантии полной защиты авторизации не рекомендуется пользоваться умными часами для таких конфиденциальных действий, как открытие дверей автомобиля или дома. Неавторизованный доступ к данным можно предотвратить, пользуясь как можно более сложными для угадывания паролями и двухфакторной аутентификацией.
В исследовании защищенности умных часов использовалась методология HP Fortify для тестирования Интернета вещей по требованию, объединяющая ручные и автоматические проверки. Устройства и их компоненты оценивались на основе рейтинга Топ-10 уязвимостей Интернета вещей по версии проекта OWASP и конкретных проблем, связанных с каждой категорией топ-10. Все данные и процентные соотношения основаны на результатах для 10 умных часов, протестированных в рамках исследования. Хотя число моделей умных часов на рынке постоянно растет, совпадение результатов тестирования даже десяти из них, по мнению HP, достаточно показательно для текущего положения вещей на рынке.
Источник: Пресс-служба HP