Эксперты: Все смарт-часы уязвимы к кибератакам

Эксперты: Все смарт-часы уязвимы к кибератакам

В каждом протестированном устройстве отсутствовал механизм двухфакторной аутентификации.

Как показало исследование, проведенное компанией HP Fortify, практически все смарт-часы с расширенной функциональностью уязвимы к кибератакам. Согласно отчету, 100% часов, протестированных специалистами, содержали значительные уязвимости, в том числе связанные с некорректной реализацией аутентификации, отсутствием шифрования и проблемами с защитой приватности.

Эксперты проанализировали 10 лучших моделей «умных» часов, представленных на рынке. Также проверялись встроенные в них приложения для Android либо iOS. В ходе исследования специалисты использовали как автоматизированные инструменты, так и ручное тестирование.

Как выяснилось, в каждых проверенных смарт-часах отсутствовал механизм двухфакторной аутентификации и возможность блокировки учетных записей после 3-5 неверных попыток ввода пароля. 3 из 10 (30%) смарт-часов позволяли атакующему осуществить процесс сбора списка всех учетных записей в системе (account harvesting).

В то время как в 100% устройств была реализована поддержка SSL/TLS, 40% облачных соединений оставались уязвимыми к POODLE-атаке, позволяли использование слабого блочного шифра или по-прежнему использовали SSL v2. В 70% смарт-часов были выявлены проблемы с защитой обновлений прошивки, в частности, передача обновлений осуществлялась в незашифрованном виде, причем файлы также были незашифрованными.

По словам экспертов, все смарт-часы собирают информацию персонального характера, такие как имя, адрес, дата рождения, пол, вес, показатели частоты сердцебиений и другие медицинские сведения. Наличие вышеуказанных проблем, считают они, ставит под угрозу безопасность личных данных владельцев «умных» часов.

Специалисты не раскрыли названия протестированных устройств, но отметили, что уже проинформировали производителей о своих находках.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь