Умные часы плохо защищены от кибератак

Логотип компании
31.07.2015
Умные часы плохо защищены от кибератак
Специалисты HP Fortify выяснили, что 100% протестированных устройств уязвимы.

Компания HP опубликовала результаты исследования безопасности Интернета вещей, согласно которым набирающие популярность умные часы представляют собой новый и пока плохо защищенный объект для кибератак. Проведенные подразделением HP Fortify эксперименты доказали: безопасность 100% протестированных умных часов под угрозой. В числе обнаруженных уязвимостей – недостаточно надежная аутентификация, отсутствие шифрования при передаче данных и проблемы конфиденциальности.

По мере развития Интернета вещей популярность умных часов будет расти параллельно с их возможностями и удобством использования. Они станут хранилищем для все более конфиденциальной информации, например медицинской, а за счет использования мобильных приложений с их помощью можно будет открывать автомобили и двери жилых домов.

При помощи программного решения HP Fortify on Demand сотрудники получили доступ к 10 умным часам, а также к их облакам и мобильным приложениям на платформах Android и iOS. В процессе был выявлен целый ряд проблем безопасности. В числе наиболее распространенных и легко решаемых проблем оказались следующие:

• Ненадежная аутентификация/авторизация пользователей. Подключение к сети всех протестированных умных часов осуществлялось без двухфакторной аутентификации и без блокировки учетной записи после 3–5 неудачных попыток ввести пароль. 3 из 10 часов были уязвимы для взлома и сбора учетных записей. Это значит, что за счет слабой политики паролей и отсутствия блокировки учетной записи хакер мог получить доступ к устройству и данным путем перебора пользователей.

• Отсутствие шифрования при передаче данных. Шифрование при передаче данных обязательно, учитывая, что персональная информация в это время переносится в различные местоположения в облаке. Хотя 100% протестированных продуктов использовали шифрование с помощью SSL/TLS, 40% соединений с облаком все еще уязвимы для атак типа POODLE, допускают применение ненадежного шифрования или до сих пор пользуются SSL v2.

• Незащищенные интерфейсы. В 30% проверенных умных часов применены облачные веб-интерфейсы – все они подвержены опасности взлома перебором учетных записей. В рамках дополнительного исследования мобильные приложения 30% часов обнаружилась уязвимость в этой же области. Она позволяет хакерам определять действующие учетные записи с помощью обратной связи от механизмов восстановления пароля.

• Незащищенное программное и микропрограммное обеспечение. У 7 из 10 часов обнаружены проблемы с защитой микропрограммных обновлений: они передавались без шифрования, и сами файлы не были зашифрованы. Впрочем, для защиты от установки зараженного микропрограммного обеспечения многие обновления были снабжены цифровой подписью, так что установить опасные обновления было бы невозможно – однако отсутствие шифрования делает возможным загрузку и анализ файлов злоумышленниками.

• Проблемы конфиденциальности. Все умные часы собирают персональную информацию о владельце: чаще всего имя, адрес, дату рождения, пол, массу тела, ЧСС и другую информацию о здоровье. Их безопасность оказывается под угрозой с учетом как возможности взлома путем перебора учетных записей, так и использования в ряде продуктов легко раскрываемых паролей.

Без гарантии полной защиты авторизации не рекомендуется пользоваться умными часами для таких конфиденциальных действий, как открытие дверей автомобиля или дома. Неавторизованный доступ к данным можно предотвратить, пользуясь как можно более сложными для угадывания паролями и двухфакторной аутентификацией.

В исследовании защищенности умных часов использовалась методология HP Fortify для тестирования Интернета вещей по требованию, объединяющая ручные и автоматические проверки. Устройства и их компоненты оценивались на основе рейтинга Топ-10 уязвимостей Интернета вещей по версии проекта OWASP и конкретных проблем, связанных с каждой категорией топ-10. Все данные и процентные соотношения основаны на результатах для 10 умных часов, протестированных в рамках исследования. Хотя число моделей умных часов на рынке постоянно растет, совпадение результатов тестирования даже десяти из них, по мнению HP, достаточно показательно для текущего положения вещей на рынке.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Что думает вице-президент Рикор Сергей Куприянов об ожиданиях заказчиков, о том, когда мы сможем купить ноутбук на отечественном процессоре и о перспективах выхода на мировой рынок?

Источник: Пресс-служба HP

Похожие статьи