В каждом протестированном устройстве отсутствовал механизм двухфакторной аутентификации.
Как показало исследование, проведенное компанией HP Fortify, практически все смарт-часы с расширенной функциональностью уязвимы к кибератакам. Согласно отчету, 100% часов, протестированных специалистами, содержали значительные уязвимости, в том числе связанные с некорректной реализацией аутентификации, отсутствием шифрования и проблемами с защитой приватности.
Эксперты проанализировали 10 лучших моделей «умных» часов, представленных на рынке. Также проверялись встроенные в них приложения для Android либо iOS. В ходе исследования специалисты использовали как автоматизированные инструменты, так и ручное тестирование.
Как выяснилось, в каждых проверенных смарт-часах отсутствовал механизм двухфакторной аутентификации и возможность блокировки учетных записей после 3-5 неверных попыток ввода пароля. 3 из 10 (30%) смарт-часов позволяли атакующему осуществить процесс сбора списка всех учетных записей в системе (account harvesting).
В то время как в 100% устройств была реализована поддержка SSL/TLS, 40% облачных соединений оставались уязвимыми к POODLE-атаке, позволяли использование слабого блочного шифра или по-прежнему использовали SSL v2. В 70% смарт-часов были выявлены проблемы с защитой обновлений прошивки, в частности, передача обновлений осуществлялась в незашифрованном виде, причем файлы также были незашифрованными.
По словам экспертов, все смарт-часы собирают информацию персонального характера, такие как имя, адрес, дата рождения, пол, вес, показатели частоты сердцебиений и другие медицинские сведения. Наличие вышеуказанных проблем, считают они, ставит под угрозу безопасность личных данных владельцев «умных» часов.
Специалисты не раскрыли названия протестированных устройств, но отметили, что уже проинформировали производителей о своих находках.
Но доступ к знаниям открыт для всех