Согласно новому исследованию, посвященному рынку Интернета вещей (ИВ), технический прогресс и триумф умных систем не всегда идут рука об руку с высокой безопасностью.

Фирма Veracode, которая специализируется на корпоративной безопасности, протестировала самые обычные ИВ-устройства, которые используются в домах, и выяснила, что их безопасность оставляет желать лучшего. Они уязвимы для эксплойтов, хищения данных, краж и потенциально даже сталкинга.

Последние годы наблюдается взрывной рост популярности ИВ-устройств. И крупные технологические компании, и стартапы вовсю инвестируют в разработку самых разных приборов, от умных систем безопасности для дома до холодильников с датчиками и ламп с настроением. По прогнозам, к 2020 году во всем мире будет использоваться уже 25 миллиардов устройств с подключением к Интернету, в том числе ИВ-устройств.

Хотя они имеют хороший рыночный потенциал и могут заметно повышать уровень жизни, безопасность остается проблемой. Даже быстрый поиск в Интернете обнаруживает штатные пароли ко многим ИВ-устройствам, при этом пользователи часто не меняют такие пароли или их вообще нельзя изменить. Нередко защита чисто номинальна.

По данным Veracode, эта проблема не теряет актуальности. Специалисты компании проанализировали ИВ-устройства с постоянным подключением к Интернету, чтобы понять, как их встроенные меры защиты сказываются на общем уровне безопасности. Исследовались шесть распространенных ИВ-приборов для дома:

• Chamberlain MyQ Internet Gateway – пульт дистанционного управления гаражными воротами через Интернет

• Chamberlain MyQ Garage – пульт дистанционного управления гаражными воротами, выключателями и электрическими розетками через Интернет

• SmartThings Hub – центральный пульт управления для домашних датчиков автоматизации, коммутаторов и дверных замков

• UBI, он же Unified Computer Intelligence Corporation – прибор с голосовым управлением и постоянным подключением для ответа на вопросы, управления домашними системами автоматизации и выполнения ряда задач типа отправки электронных писем и SMS

• Wink Hub – центральный пульт управления домашними устройствами автоматизации

• Wink Relay – хаб и пульт управления для домашних датчиков и приборов автоматизации

Фирма проанализировала все эти устройства и пришла к выводу, что их уязвимости для пользователей являются «существенными».

Исследователи купили все приборы в декабре прошлого года, новыми и с полностью обновленной прошивкой. Тесты производились в четырех областях: пользовательские облачные сервисы, облачные бэкэнд-сервисы, интерфейсы мобильных приложений и интерфейсы для отладки устройств.

При тестировании устройств в области пользовательских облачных сервисов определялся способ аутентификации и коммуникации с облачными сервисами, на которые пользователи входят непосредственно, будь то через браузер, модифицированное встроенное устройство или мобильное приложение.

Veracode хотела определить, есть сильное шифрование канала коммуникации, требуется ли такое шифрование, требуются ли сильные пароли и правильно ли проверяются серверные сертификаты TLS.

Если прибор не прошел эти тесты, значит он уязвим для кражи данных, перехвата управления, взлома паролей и так называемых MITM-атак (man in the middle, атака посредника).

Результаты выглядят следующим образом:

Во втором тесте исследовались облачные сервисы типа бэкэнд. Специалисты выясняли, насколько сильные механизмы аутентификации используются в приборах для входа в облачные сервисы, есть ли шифрование, какие используются меры против MITM-атак, защищены ли чувствительные данные.

Если устройство не проходит эти тесты, оно уязвимо для подмены личности, MITM-атак и пассивного слежения с целью поиска устройств для кражи личных данных, например, реквизитов входа.

(1) Сертификат TLS используется в механизме обновления устройства, но не при обычной связи.

В третьем тесте изучались мобильные приложения и ИВ-устройства, непосредственно связанные с ними. Нужно было проверить наличие защиты и шифрования чувствительных данных, а также использование протоколов проверки сертификатов. Без надлежащей защиты можно красть данные и совершать MITM-атаки.

(1) Выбранная информация (пароли к Wi-Fi-сетям) посылалась с помощью Bluetooth-соединения или незашифрованного Wi-Fi напрямую на устройство и только при первоначальной настройке. N/A: нет прямой связи между мобильным приложением и устройством (кроме непрямого соединения через облачный бэкэнд-сервис).

В последнем тесте Veracode исследовала интерфейсы отладки и сервисы, которые работают на ИВ-устройстве, но не предназначены для конечных пользователей. Это могут быть различные порты отладки или коды обслуживания.

Специалисты решили изучить только интерфейсы, доступные через сеть, будь то LAN или Веб. Они выясняли, могут ли пользователи с физическим доступом к устройству получить доступ к таким «скрытым» настройкам, насколько открытые интерфейсы защищены от неавторизованного доступа и могут ли открытые интерфейсы защитить от запуска на устройстве произвольного кода злоумышленниками.

Если устройство не проходит эти тесты, оно уязвимо для неавторизованного доступа, перехвата управления, кражи чувствительной информации и удаленного запуска кода.

(1) В самой последней версии прошивки WinkRelay ADB отключен. Прошивка автоматически не обновляется, хотя пользователя просят сделать это вручную. Одни это сделают, другие – нет. (2) ADB на Wink Relay работал не правами суперпользователя, и мы не выполняли произвольный код. Однако мы все равно могли выполнить инструменты, которые уже есть на устройстве, и считать аудиозаписи. Мы считаем, что при наличии достаточного времени можно задействовать и другие уязвимости Android для выполнения произвольного кода.

Диапазон проблем с безопасностью на этих устройствах вызывает беспокойство, ведь они все шире применяются в домах людей. Специалисты подытоживают:

«C помощью информации на Ubi киберпреступники могут точно знать, когда пользователь находится дома, проанализировав уровень шума и освещенности. Результатом может стать ограбление и даже сталкинг, если жертва – знаменитость или бывший партнер.

С помощью уязвимостей на Wink Relay и Ubi киберпреступники могут включать микрофоны и слушать любые разговоры в пределах действия устройств, что создает почву для шантажа и кражи деловой информации у работодателя пользователя, если он работает дома. Уязвимости в системе Chamberlain MyQ позволяют ворам узнать, открыта или закрыта дверь гаража, и таким образом проникнуть в дом».

Брендон Крейтон (Brandon Creighton), архитектор исследований по безопасности в Veracode, комментирует:

«Сложно не впечатляться всеми сегодняшними и будущими возможностями Интернета вещей, но это не повод приносить в жертву кибербезопасность. ИВ требует целостного подхода, чтобы и устройства, и их сетевые, мобильные и облачные бэкэнд-сервисы изначально создавались безопасности. Безопасность не должна считаться чем-то второстепенным или дополнительным, иначе под угрозой окажутся наши личные данные и даже физическая безопасность».

Представитель Chamberlain прокомментировал исследование:

«Chamberlain изучила исследование Veracode и подтверждает, что тест продукта MyQ неактуален, поскольку Chamberlain Group постоянно проверяет и улучшает безопасность своих продуктов. Кроме того, мы не согласны с некоторыми выводами отчета и планируем связаться с Veracode и донести наши соображения. Chamberlain очень серьезно относится к безопасности и защищенности умного дома.

Наши постоянные обновления и процедуры безопасности включают в себя стандартное в индустрии шифрование, новейшие техники безопасности и периодическую проверку безопасности с использованием уважаемых сторонних сервисов. Данное исследование – хорошее напоминание домовладельцам следить за безопасностью своих сетей с помощью сильных паролей и настроек безопасности».

Об авторе: Шарли Осборн (Charlie Osborne) - журналист, пишет для ZDnet и Cnet, имеет педагогическое образование, закончила со степенью Университет Кентбери (Великобритания), много лет работала в Европе и на Ближнем Востоке в СМИ, освещающих рынок B2B.