Домашняя сеть смарт-устройств от Samsung легко поддаётся взлому

11/05/2016

Домашняя сеть смарт-устройств от Samsung легко поддаётся взлому

Новый доклад экспертов из Мичиганского университета, подготовленный совместно со специалистами исследовательского подразделения Microsoft, проливает свет на главные уязвимости платформы SmartThings и на то, как они могут быть использованы хакерами в злоумышленных целях. Результаты исследований прокомментировали аналитики prpl Foundation и Veracode.

 

Дерил Хейланд (Deral Heiland), Rapid7:

В ходе проведения Мичиганским университетом своего исследования, посвящённого определению степени защищённости IoT-сети от Samsung, были обнаружены некоторые уязвимости, использование которых может дать хакеру весьма большие возможности. Но главной проблемой, обнаруженной исследователями, является тот факт, что подобные критические уязвимости можно обнаружить и в других смарт-технологиях производства различных компаний.

Тремя наиболее опасными потенциальными брешами в защите SmartThings являются:

·         Доступ к довольно широкому диапазону настроек через мобильное приложение;

·         Широкие права, предоставляемые сторонним приложениям, взаимодействующим с программой для управления SmartThings;

·         Возможность осуществления атак путём использования приёмов социальной инженерии.

Во время проведения исследования в первую очередь эксперты обратили внимание на изучение прав доступа к настройкам различных уровней. Возможность настройки слишком большого количества параметров домашней смарт-сети при помощи мобильного приложения — довольно распространённая ошибка в среде «умных» устройств. Доступ к большему числу функций, чем это необходимо, — проблема не только Samsung, но и других производителей. В чём здесь опасность? При проведении исследования сотрудники университета на практике доказали возможность вторжения в сеть путём использования мобильного приложения и последующего несанкционированного управления его возможностями.

Что касается второй уязвимости, она частично связана с первой и состоит в том, что для объединения в единую сеть устройств различных производителей требуется предоставление стороннему приложению определённых прав. Учитывая это, создатели таких программ беспокоятся об их защите от кросс-программных атак. Однако на деле оказывается, что реализованных алгоритмов защиты может быть недостаточно, и нападение на более слабое приложение может повлечь за собой взлом всей системы. Так, эксперты университета смогли воспользоваться этим методом для изменения критических настроек безопасности.

И наконец, исследователи смогли осуществить вторжение в систему, прибегнув к методике, основанной на переходе пользователем по присланной злоумышленником URL-ссылке. Сам факт того, что сеть можно взломать, всего лишь обманув пользователя, имеющего недостаточно знаний о технологиях атаки, указывает на важность постоянного совершенствования защиты от фишинговых схем.

 

Чезаре Гарлати (Cesare Garlati), prpl Foundation:

 «Мой дом — моя крепость» — так полагает преимущественное большинство современных людей. К жилью человек имеет особенно трепетное отношение. Беспокоясь о безопасности своего места жительства, он старается не оставлять входную дверь открытой. Так почему же мы столь охотно распахивает её перед кибер-преступниками?

Что бы ни утверждали производители «умного» оборудования, на 100% эффективных технологий защиты рабочих данных на данный момент просто не существует. Это вовсе не агитация против смарт-устройств как таких. Это лишь напоминание о том, что «интеллектуализируя» свой дом, следует уделять предельное внимание вопросам безопасности. Выбирая между «умными» моделями, следует спрашивать себя: «действительно ли для меня важна возможность управления домашней техникой через смартфон?», «необходимо ли мне подключение к облаку?», «нужна ли мне возможность управлять всем домом через телефон (особенно на Android)?» То, что исследователи смогли проникнуть внутрь домашней смарт-сети, значит лишь одно — любой, кто имеет достаточное количество знаний, способен сделать то же.

 

Пол Фаррингтон (Paul Farrington), Veracode:

«IoT-революция» предоставила производителям самой разнообразной техники больше возможности для расширения производства, увеличения продаж и повышения доходов. Но это лишь то, что является очевидным на первый взгляд. Но если начать рассматривать её с позиции безопасности, становится заметным и другой факт — появление широких возможностей для несанкционированного вторжения.

Учитывая это, эксперты Gartner прогнозируют, что к 2020 году более четверти всех кибер-атак будут осуществляться через сети IoT. И в самом деле, «умные» устройства всё глубже проникают во многие сферы общественной жизни, находя применение даже в здравоохранении, автомобильной промышленности.

Однако наибольшее беспокойство у экспертов вызывает незащищённость бытовых сетей. В то время, как предприятия могут иметь в штате сотрудника, отвечающего за информационную безопасность и способного выбрать наиболее защищённый вариант, рядовые пользователи далеко не всегда обращают внимание на это фактор.

 

Фото: Домашняя сеть смарт-устройств от Samsung легко поддаётся взлому (источник: University of Michigan)