Начнем с проблемы, затрагивающей максимальное количество устройств: видеокамер, удаленно управляемых дверных звонков и радионянь множества производителей из Китая. Исследователь Пол Маррапезе обнаружил (
Все устройства объединяет общее приложение для удаленного управления, известное как iLnkP2P. При первом подключении владельцу IoT-устройства нужно просканировать нанесенный на корпус штрихкод или ввести вручную серийный номер. Соответственно, злоумышленники могут легко просканировать весь диапазон серийных номеров, найти работающие устройства и получить к ним доступ с использованием дефолтного логина и пароля.
Даже если владелец поменяет пароль, его в ряде случаев можно перехватить, так как часть уязвимых устройств не использует шифрование данных. По словам исследователя, для некоторых устройств заявлено шифрование данных, хотя на самом деле информация передается открытым текстом. Всего удалось идентифицировать 15 наименований устройств минимум шести разных производителей. Полный список уязвимых устройств вряд ли удастся составить, проще идентифицировать их по названию приложения и части серийного номера.
На запросы исследователя разработчик приложения не ответил, да и вряд ли получится закрыть данную уязвимость целиком: придется ломать механизм авторизации новых устройств. Более того, сайт разработчика софта, судя по всему, взломан, там стоит скрипт, перенаправляющий посетителей на китайскую игровую площадку. Поможет разве что блокировка передачи данных по UDP-порту 32100, через который устройства выходят в интернет.
У автора еще одного «исследования» явные проблемы с этическим подходом к поиску уязвимостей. Вместо того чтобы уведомить вендора, хакер по имени L&M взломал десятки тысяч профилей сервиса геолокации и слил информацию в СМИ (
Такие трекеры обычно устанавливаются в автомобили и позволяют удаленно отслеживать перемещения. В некоторых случаях возможна расширенная функциональность, например запуск и остановка двигателя. Для доступа к данным и управления используются приложения для смартфонов. Исследуя приложения, L&M обнаружил, что по умолчанию клиенты сервиса получают пароль 123456, и далеко не все его меняют.
В результате стало возможно получить доступ к данным о местоположении устройства, реальному имени клиента, а для некоторых устройств появилась возможность удаленно заглушить двигатель, если автомобиль стоит или двигается со скоростью до 20 километров в час. Изданию Motherboard удалось связаться с четырьмя владельцами устройств и подтвердить подлинность данных, полученных без авторизации. Интересная и потенциально опасная уязвимость, но в любом случае исследования безопасности проводятся немного не так.
Добавим к списку IoT-проблем исследование ESET (
Наконец, исследователи Tenable Security нашли (
Данная проблема интересна в контексте сценария использования таких панелей: они устанавливаются в офисах, могут иметь доступ к локальной сети предприятия и одновременно — упрощенный доступ к самой панели для гостей. Неаккуратная настройка монитора может пробить серьезную брешь в защите компьютерной сети. По данным исследователей, уязвимости были частично закрыты обновлением ПО.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.