Эксперты компании Veracode пришли к выводу, что защита интернет вещей в большинстве случаев не доработана.
Не только широкополосные маршрутизаторы для домашнего использования имеют ненадежную защиту. Согласно результатам исследования компании Veracode, устройства "Интернета вещей", которые автоматически синхронизируются с облачным хранилищем, также не обеспечивают защиту данных на высоком уровне.
Не изменяя стандартных настроек сетевого оборудования, и не пытаясь обойти защиту ни устройств, ни облачных сервисов, эксперты Veracode обнаружили множество уязвимостей в решениях от компаний Chamberlain Group, SmartThings, Ubi и Wink, просто захватив сетевой трафик.
Специалисты протестировали контроллеры для домашней автоматизации WinkHub и Wink Relay, систему активации голосом Unified Computer Intelligence, решение для автоматизации и контроля от компании SmartThings, интернет-интерфейс системы для управления гаражными воротами MyQ Garage и ПО для управления выключателями и розетками электропитания MyQ Internet Gateway от компании Chamberlain Groups.
Эксперты проверили тестируемое ПО на соответствие ряду требований, которые разбили на категории:
Поддерживает ли устройство шифрование при подключении к облачному сервису; проверяется ли сложность пароля и подлинность TLS-сертификата. Только решение от SmartThings соответствует всем стандартам.
Взаимодействие с облачными сервисами – защита процесса аутентификации устройства; шифрования при взаимодействии с облачным хранилищем; защита от атак «человек посередине»; защита конфиденциальных данных. Снова только продукт компании SmartThings успешно прошел все тесты.
Мобильный интерфейс - защита связи между устройством и смартфоном. Устройство от SmartThings опять стало лучшим в тесте.
Отладка безопасности – открыт ли интерфейс отладки, защищен ли он, может ли злоумышленник выполнить произвольный код на устройстве. Здесь продукт SmartThings провалился – к устройству можно получить доступ через протокол Telnet. MyQ Gateway успешно прошла все тесты категории.
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!