Специалисты обнаружили множество брешей в защите "Интернета вещей"

image

Теги: уязвимость, тестирование, сетевые устройства, облачные технологии, безопасность хранилищ данных

Эксперты компании Veracode пришли к выводу, что защита интернет вещей в большинстве случаев не доработана.

Не только широкополосные маршрутизаторы для домашнего использования имеют ненадежную защиту. Согласно результатам исследования компании Veracode, устройства "Интернета вещей", которые автоматически синхронизируются с облачным хранилищем, также не обеспечивают защиту данных на высоком уровне.

Не изменяя стандартных настроек сетевого оборудования, и не пытаясь обойти защиту ни устройств, ни облачных сервисов, эксперты Veracode обнаружили множество уязвимостей в решениях от компаний Chamberlain Group, SmartThings, Ubi и Wink, просто захватив сетевой трафик.

Специалисты протестировали контроллеры для домашней автоматизации WinkHub и Wink Relay, систему активации голосом Unified Computer Intelligence, решение для автоматизации и контроля от компании SmartThings, интернет-интерфейс системы для управления гаражными воротами MyQ Garage и ПО для управления выключателями и розетками электропитания MyQ Internet Gateway от компании Chamberlain Groups.

Эксперты проверили тестируемое ПО на соответствие ряду требований, которые разбили на категории:

  • Поддерживает ли устройство шифрование при подключении к облачному сервису; проверяется ли сложность пароля и подлинность TLS-сертификата. Только решение от SmartThings соответствует всем стандартам.
  • Взаимодействие с облачными сервисами – защита процесса аутентификации устройства; шифрования при взаимодействии с облачным хранилищем; защита от атак «человек посередине»; защита конфиденциальных данных. Снова только продукт компании SmartThings успешно прошел все тесты.
  • Мобильный интерфейс - защита связи между устройством и смартфоном. Устройство от SmartThings опять стало лучшим в тесте.
  • Отладка безопасности – открыт ли интерфейс отладки, защищен ли он, может ли злоумышленник выполнить произвольный код на устройстве. Здесь продукт SmartThings провалился – к устройству можно получить доступ через протокол Telnet. MyQ Gateway успешно прошла все тесты категории.
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.