Благодаря встроенным сенсорам, браслеты и другие носимые устройства (wearables ) стали отличным инструментом для мониторинга фитнес-занятий и здорового образа жизни: они информируют нас о наших спортивных достижениях и количестве потраченных калорий в тренажерном зале. Однако рост продаж подобных устройств также привел к росту предупреждений о рисках, связанных с такими устройствами в плане безопасности данных.
Например, группа исследователей из американского Центра IEEE Center for Secure Design недавно опубликовала о некоторых подобных угрозах.
По мнению экспертов, основные риски связаны с разработкой устройства: те устройства, которые были разработаны с пренебрежением к вопросам безопасности, как правило, не соответствуют необходимым требованиям безопасности для защиты данных, которые они собирают. Их популярность в сочетании с огромным объемом хранящейся на них информации сделали их желанной целью для кибер-преступников.
При проведении анализа эксперты сфокусировались на браслетах, предназначенных для физической активности, которые измеряют различные показатели самочувствия человека. Такие устройства оснащены такими датчиками движения, как акселерометр, которые подключены к Интернету для отправки данных на централизованный сервер.
Исследователи утверждают, что атаки направлены на программные системы, которые контролируют поток информации между устройством и сервером. То же самое происходит и с другими типами подключенных к Интернету устройств, такими как смартфоны или компьютеры, а это означает, что преимуществами подобных уязвимостей пользуются достаточно часто.
Один из методов, который могут использовать кибер-преступники для доступа к пользовательской информации, связан с внедрением SQL -кодов. Такая техника позволяет воспользоваться недостатками безопасности для вставки вредоносного кода в одно из IT-приложений, которое контролирует сервер с базой данных.
Другие известные методы – это и техника, которая позволяет передавать несанкционированные запросы на сервер, например, запрос информации. Существует также методика переполнения буфера или избытка данных в области жесткого диска, что может позволить модифицировать программу, которая управляет хранением данных.
Кроме того, кибер-преступники могут выполнять DOS -атаки через ложное обновление прошивки. В результате этого устройство становится непригнодным и блокирует пользователей на их аккаунтах. Таким образом, можно нанести вред и другим элементам, связанным с носимыми устройствами, например, смартфону или компьютеру.
В докладе данные о здоровье рассматриваются как деликатная информация, которая может быть сфальсифицирована кибер-преступниками или даже украдена ими. Авторы доклада утверждают, что необходимы более серьезные меры безопасности для гарантии того, что эта информация не будет передана третьим лицам, даже если пользователь опубликовал ее в социальных сетях.
Уязвимости трекеров могут позволить кибер-преступнику не только получить доступ к данным его пользователя, но также и запустить атаки на другие веб-сайты и серверы.
Принимая во внимание все вышеперечисленные риски, эксперты советуют: вместо того, чтобы фокусироваться на латании дыр и уязвимостей, необходимо пересмотреть процесс разработки носимых устройств и проанализировать всю экосистему программного обеспечения, окружающего такие устройства от компьютеров до смартфонов и даже серверов с данными.
Оригинал статьи:
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
