Проблема позволяет получить доступ к важным данным, которые могут использоваться для проведения других атак.
Исследователи в области безопасности неоднократно предупреждали об угрозах, связанных с устройствами из сферы «Интернета вещей». Если ранее речь шла в основном о подключенных к интернету принтерах , холодильниках , кофеварках и телевизорах, то сейчас в этот список добавились посудомоечные машины.
Специалист компании Schneider & Wulf Йенс Регель (Jens Regel) обнаружил уязвимость (CVE-2017-7240) во встроенном web-сервере PST10 WebServer автоматов для мойки и дезинфекции Miele Professional PG 8528 PST10, позволяющую неавторизованному злоумышленнику провести атаку «обход каталога» (directory traversal) и получить доступ к важным данным, которые впоследствии могут использоваться для осуществления других атак.
В ноябре минувшего года исследователь проинформировал производителя об уязвимости, однако компания проигнорировала его сообщение. В настоящее время нет информации о доступности обновления, устраняющего данную проблему.
По словам эксперта компании F-Secure Микко Хиппонена (Mikko Hyppönen), в ближайшее время не стоит ожидать улучшений в сфере безопасности IoT- устройств.
«Превращение простого устройства в «умное» будет стоить всего 10 центов. Это будет настолько дешево, что производители будут оборудовать чипами любое устройство, даже если полученные преимущества будут весьма небольшими. Но эти преимущества будут не для вас, потребителей, а для производителей, которые хотят собирать аналитику. IoT-устройства будущего не будут подключаться к интернету для вашей выгоды - вы даже не будете знать, что это IoT-устройство», - отметил Хиппонен.
Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб"
Удешевление электроники привело к тому, что все больше самых разнообразных устройств оснащаются умной начинкой. Сейчас количество таких устройств в домах исчисляется единицами, но легко спрогнозировать, что в ближайшее время увеличение количества умных устройств приведет к тому, что они будут объединяться в квартирные, общедомовые сети, сети в пределах управляющих компаний (скажем, на случай резких отключений света) и тд. Умные устройства все более внедряются в медицинские устройства. Но при этом внимание, которое уделяется их производителями безопасности, невероятно низко. Да, уязвимости есть везде. Но, скажем, при нахождении уязвимости в операционной системе на нее приходит обновление - как правило, автоматически. А вот с устройствами ситуация совсем иная - они не обновляются, как правило, никогда - и потому нахождение в них уязвимостей крайне выгодно злоумышленникам, ведь найденные дыры будут эксплуатироваться почти вечно.
Найденная уязвимости неприятна, но не критична. По сообщениям, злоумышленик, используя ее, может просканировать директории устройства в поисках данных, необходимых для продолжения атаки. Сейчас умные устройства редко объединяются в сети, но представьте себе ситуацию, когда в вашем доме все будет умным. Илон Маск анансировал поиск возможности передачи мыслей на компьютеры - возможно, только подумав, вы в будущем сможете управлять всем домом, но это смогут сделать и злоумышленники. Взбесившиеся дома фантастов станут реальностью.
Одно найти легче, чем другое. Спойлер: это не темная материя