Почти 31% приложений для IoT-устройств не используют шифрование

Почти 31% приложений для IoT-устройств не используют шифрование

В Android-приложениях для TP-Link, LIFX, Belkin и Broadlink обнаружены уязвимости.

image

Совместная группа ученых из Федерального университета Пернамбуку (Бразилия) и Университета Мичигана (США) проанализировала безопасность Android-приложений для IoT-устройств и пришла к неутешительным выводам.

Специалисты изучили приложения 96 IoT-устройств и выявили, что почти 31% не используют шифрование вообще, а 19% содержат встроенный ключ шифрования, который легко обнаружить. 38% приложений можно проэксплуатировать через уязвимости в протоколах.

Исследователи изучили приложение Kasa for Mobile для устройств TP-Link, приложение для смарт-лампочек LIFX с поддержкой Wi-Fi, приложение WeMo для IoT-устройств Belkin и приложение e-Control для систем "умного" дома Broadlink. Для каждого из них они создали эксплоит.

Специалисты обнаружили, что предлагаемая на Amazon продуктовая линейка "умных" розеток TP-Link использует один и тот же ключ шифрования, а конфигурация устройств устанавливается через приложение без надлежащей аутентификации. На основе данной информации злоумышленник может осуществить спуфинг-атаку и перехватить контроль над устройством. Эксперты опубликовали ссылку на видео с демонстрацией процесса эксплуатации уязвимости. По их словам, проблема затрагивает и другие устройства TP-Link, поскольку для управления используется одно и то же мобильное приложение.

Далее исследователи проанализировали 32 приложения для 96 наиболее популярных на Amazon IoT-устройств с поддержкой Wi-Fi и Bluetooth и обнаружили похожие уязвимости.

Перед публикацией отчета специалисты уведомили компании-производители о проблемах, однако так и не получили ответ. Как сообщил представитель LIFX в комментарии изданию The Register, компания устранила уязвимости в конце 2018 года и реализовала защитные меры, включая шифрование.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle