На конференции PrivacyCon, организованной федеральной торговой комиссией США (FTC), два студента Принстонского университета рассказали о том, что многие устройства Интернета вещей (IoT) все еще разрабатываются и программируются без учета требований безопасности. Они выбрали случайный набор устройств IoT и посмотрели, какие данные и как передаются онлайн. Среди этих устройств:
· Домашний термостат.
· Камера наблюдения.
· Концентратор IoT, служивший самостоятельным шлюзом между Интернетом, дверным датчиком и интеллектуальным коммутатором (как правило, интеллектуальный коммутатор включает-выключает питание, управлять ним можно по Интернету).
Студенты не пытались декомпилировать встроенное микропрограммное обеспечение, а только наблюдали за поведением устройств. Вот что они обнаружили:
· Передаваемый кадр использовал незашифрованный трафик HTTP, включая идентификацию устройства и адрес электронной почты.
· Камера видеонаблюдения передавала изображение в открытом виде по HTTP.
· Динамик передавал потоком незашифрованные данные.
· Термостат использовал HTTPS, но входящие сообщения прогноза погоды включали почтовый индекс в виде простого текста.
· Комутатор везде использовал HTTPS.
Хорошие новости: два устройства все же использовали шифрование трафика.
