Хакеры присматриваются к Интернету Вещей

15/04/2015

Домашняя смарт-техника уязвима к хакерским атакамБольшинство владельцев систем домашней автоматизации даже не задумываются над тем, насколько подключённая техника уязвима для хакерских атак. Вместе с тем, злоумышленники не дремлют и ищут новые способы проникнуть в дом, например, взломав «умный» дверной замок.

Недавнее исследование отдела безопасности компании Veracode позволило оценить устойчивость к хакерским атакам шести наиболее распространённых классов IoT-устройств, а также подробно описать выявленные уязвимости. Аналогичное исследование Hewlett-Packard, проведенное в 2014 году, показало идентичные результаты, правда, конкретные марки смарт-техники при этом не были названы. Полученные результаты, безусловно, стоят внимания владельцев устройств для «умного» дома.

Компания Veracode закупила смарт-девайсы в декабре и выполнила их  лабораторную проверку в январе, а затем обобщила полученные данные. Эксперты утверждают, что выявили то, что описывают как «значительные» уязвимости, в большинстве, но не во всех испытанных продуктах. В своём докладе Veracode  сообщает, что «производители продукции не уделяли достаточно внимания вопросам безопасности и конфиденциальности, поставив в приоритет дизайн и таким образом подвергнув потребителей риску нападения или физического вмешательства».

Во всех шести случаях Veracode поделилась своими наблюдениями с вендорами, и все шесть внесли необходимые исправления. Наиболее показательными стали два примера из проведенного исследования.

Первый касался системы MyQ Garage от компании Chamberlain. Устройство позволяет пользователю открывать и закрывать двери гаража с помощью смартфона. Эксперты Veracode обнаружили, что потенциальный злоумышленник может получить доступ к устройству и использовать его, чтобы узнать, когда дверь гаража была открыта или закрыта, и таким образом получить возможность ограбить дом.

Представитель Chamberlain в ответ на выводы Veracode сообщил, что испытанный продукт был «устаревшим», и высказал своё несогласие с некоторыми из выводов доклада. Однако при этом производитель выразил свою готовность сотрудничать с Veracode для решения возможных проблем безопасности.

Вторым, привлёкшим внимание, стало устройство Wink Relay, сенсорный контроллер, интегрируемый в выключатель и позволяющий легко управлять большим количеством других умных устройств по всему дому.

Устройство работает под управлением мобильных устройств на платформе Android. Эксперты Veracode обнаружили, что для вмешательство в работу этого девайса можно воспользоваться программой Android Debug Bridge (АБР) - инструментом, применяемым программистами для устранения ошибок программного кода. Исследователи Veracode смогли с помощью АБР включить микрофон устройства и записывать разговоры в помещении, а затем загрузить эти записи в компьютер. В ответ на опубликованный доклад компания Wink отключила АБР при следующем обновлении программного обеспечения.

Из шести устройств, исследованных Veracode, меньше всего проблем безопасности было выявлено у хаба SmartThings Hub - центральной части платформы SmartThings, связывающей датчики, замки, выключатели, розетки, термостаты и другие умные бытовые приборы. Он имеет встроенный Telnet-сервер, что потенциально может позволить злоумышленнику получить доступ к технике, но несмотря на это, инженеры Veracode не смогли взломать это устройство.

Своим исследованием Veracode предоставила возможность производителям улучшить параметры безопасности и конфиденциальности своей техники, чтобы минимизировать возможные риски для пользователей.

Это действительно важный вопрос, если учесть прогнозы о росте числа пользователей домашних систем автоматизации. Так, например, аналитики исследовательской фирмы Gartner утверждают, что к 2020 году общее количество используемых смарт-девайсов может достичь 26 миллиардов. При этом эксперт Verizon считает, что в настоящее время реализовано уже более миллиарда таких устройств.

 

Фото: Домашняя смарт-техника уязвима к хакерским атакам (источник: Veracode)