Приложения к популярным устройствам умного дома содержат уязвимости в безопасности

Новое исследование в области кибербезопасности, проведенное Технологическим институтом Флориды, показало, что сопутствующие приложения для смартфонов 16 популярных устройств умного дома содержат "критические дефекты криптографии", которые могут позволить злоумышленникам перехватывать и изменять их трафик.

depositphotos_10499704-stock-photo-bad-chain.jpg

Поскольку устройства Интернета вещей (IoT), такие как подключенные к системе замки, датчики движения, видеокамеры и умные колонки, становятся все более распространенными в домах по всему миру, их растущая популярность означает, что все больше людей подвергаются риску подвергнуться воздействию кибер-атак.
"IoT-устройства обещают безопасность благодаря подключенным замкам, сигнализациям и видеокамерам слежения", - утверждает доцент кафедры компьютерной техники и естественных наук Ти Джей О'Коннор и студенты Дилан Джесси и Дэниел Кампос в своей работе " Through the Spyglass: Toward IOT Companion App Man-in-the-Middle Attacks." ("Сквозь подзорную трубу: На пороге атак "человек посередине"). Однако злоумышленники могут использовать несовершенную, но повсеместно распространенную технологию IoT для шпионажа и наблюдения за своими жертвами".

О'Коннор возглавляет программу кибербезопасности в Florida Tech и руководит лабораторией IoT Security and Privacy Lab (на фото выше), которая провела наглядное исследование недостатков конфиденциальности в подключенных к интернету видеокамерах. Этим летом он был назначен главным тренером первой команды США, участвующей в международных кибернетических соревнованиях.

Исследования, проводимые О'Коннором и его студентами, часто подчеркивают тревожные уязвимости потребительских IoT-устройств, и их последняя работа была посвящена этому вопросу.

Подвергнув 20 устройств целому ряду атак типа "man-in-the-middle" ("человек посередине"), в ходе которых злоумышленники пытаются перехватить обмен информацией между сторонами, позволяющий похищать учетные данные, шпионить или осуществлять другие злонамеренные действия, исследователи обнаружили, что 16 производителей устройств не приняли меры безопасности, что позволило осуществить эти атаки.

"Мы предполагаем, что распределенная коммуникационная архитектура IoT создает уязвимости, которые позволяют злоумышленнику перехватывать и манипулировать каналом связи, влияя на восприятие IoT-устройства на уровне пользователя", - пишут они. "Мы использовали данную уязвимость против широкого спектра моделей устройств "умного дома" для обнаружения вредоносных пользователей, подавления сообщений о движении, изменения изображений с камер, разблокировки дверей и манипулирования лог-файлами истории".

IoT-устройствами, на которых была обнаружена эта уязвимость, были: Amazon Echo, замки August, камеры Blink, камеры Google Home, светильники Hue, замок Lockly, камера Momentum, камера Nest, дверной звонок NightOwl, телевизор Roku, замок Schlage, замок Sifely, сигнализация SimpliSafe, замок SmartThings, замок UltraLoq и камера Wyze.

Устройства четырех производителей - Arlo, Geeni, TP-Link и Ring - оказались не восприимчивы к атакам, которые были проведены исследователями.
"Хотя наша работа выявила серьезные сбои, производители оборудования могут и должны принимать меры по улучшению конфиденциальности и целостности в устройствах умного дома и их приложениях", - пишут исследователи.

Исследователи раскрыли информацию об уязвимостях заинтересованным поставщикам и компании Apple до публикации своей работы. Как подчеркивают исследователи в своей работе, поставщики должны внедрить более надежные криптографические механизмы на стороне сервера, чтобы предотвратить эти атаки.
Некоторые производители уже начали выполнять эти рекомендации, в том числе компания Wyze, которая обновила свое приложение-компаньон до того, как исследователи представили свои выводы на семинаре Cyber Security Experiment & Test Workshop в августе.

Работа спонсировалась Управлением военно-морских исследований. Дилан Джесси, курсант университетской программы Army ROTC, возглавил работу по выявлению уязвимостей.
Фотография: Технологический институт Флориды
Поскольку устройства Интернета вещей (IoT), такие как подключенные к системе замки, датчики движения, видеокамеры и умные колонки, становятся все более распространенными в домах по всему миру, их растущая популярность означает, что все больше людей подвергаются риску подвергнуться воздействию кибер-атак.

"IoT-устройства обещают безопасность благодаря подключенным замкам, сигнализациям и видеокамерам слежения", - утверждает доцент кафедры компьютерной техники и естественных наук Ти Джей О'Коннор и студенты Дилан Джесси и Дэниел Кампос в своей работе " Through the Spyglass: Toward IOT Companion App Man-in-the-Middle Attacks." ("Сквозь подзорную трубу: На пороге атак "человек посередине"). Однако злоумышленники могут использовать несовершенную, но повсеместно распространенную технологию IoT для шпионажа и наблюдения за своими жертвами".

О'Коннор возглавляет программу кибербезопасности в Florida Tech и руководит лабораторией IoT Security and Privacy Lab (на фото выше), которая провела наглядное исследование недостатков конфиденциальности в подключенных к интернету видеокамерах. Этим летом он был назначен главным тренером первой команды США, участвующей в международных кибернетических соревнованиях.

Исследования, проводимые О'Коннором и его студентами, часто подчеркивают тревожные уязвимости потребительских IoT-устройств, и их последняя работа была посвящена этому вопросу.

Подвергнув 20 устройств целому ряду атак типа "man-in-the-middle" ("человек посередине"), в ходе которых злоумышленники пытаются перехватить обмен информацией между сторонами, позволяющий похищать учетные данные, шпионить или осуществлять другие злонамеренные действия, исследователи обнаружили, что 16 производителей устройств не приняли меры безопасности, что позволило осуществить эти атаки.

"Мы предполагаем, что распределенная коммуникационная архитектура IoT создает уязвимости, которые позволяют злоумышленнику перехватывать и манипулировать каналом связи, влияя на восприятие IoT-устройства на уровне пользователя", - пишут они. "Мы использовали данную уязвимость против широкого спектра моделей устройств "умного дома" для обнаружения вредоносных пользователей, подавления сообщений о движении, изменения изображений с камер, разблокировки дверей и манипулирования лог-файлами истории".

IoT-устройствами, на которых была обнаружена эта уязвимость, были: Amazon Echo, замки August, камеры Blink, камеры Google Home, светильники Hue, замок Lockly, камера Momentum, камера Nest, дверной звонок NightOwl, телевизор Roku, замок Schlage, замок Sifely, сигнализация SimpliSafe, замок SmartThings, замок UltraLoq и камера Wyze.

Устройства четырех производителей - Arlo, Geeni, TP-Link и Ring - оказались не восприимчивы к атакам, которые были проведены исследователями.
"Хотя наша работа выявила серьезные сбои, производители оборудования могут и должны принимать меры по улучшению конфиденциальности и целостности в устройствах умного дома и их приложениях", - пишут исследователи.

Исследователи раскрыли информацию об уязвимостях заинтересованным поставщикам и компании Apple до публикации своей работы. Как подчеркивают исследователи в своей работе, поставщики должны внедрить более надежные криптографические механизмы на стороне сервера, чтобы предотвратить эти атаки.
Некоторые производители уже начали выполнять эти рекомендации, в том числе компания Wyze, которая обновила свое приложение-компаньон до того, как исследователи представили свои выводы на семинаре Cyber Security Experiment & Test Workshop в августе.

Работа спонсировалась Управлением военно-морских исследований. Дилан Джесси, курсант университетской программы Army ROTC, возглавил работу по выявлению уязвимостей.

Overclockers.ru
 
Сверху Снизу