Носимые устройства приобретают все большую популярность ввиду бурного развития рынка «Интернета вещей».
Эти миниатюрные гаджеты, очевидно, ждет большое будущее: они могут использоваться как для удобства чтения уведомлений со смартфона, так и для физических тренировок или медицинских обследований.
Однако, учитывая доступ этих гаджетов и соответствующих мобильных сервисов и приложений к разнообразию пользовательских данных (от физических показателей пользователя до его номера телефона), киберпреступники также рады расцвету рынка носимых устройств. В среду компания HP опубликовала исследование Smartwatch Security Study, в котором подчеркнула ужасающее состояние безопасности предметов носимой электроники.
Исследователи HP основывались как на непосредственном тестировании, так и на результатах симуляции угроз при помощи цифровых инструментов и решения HP Fortify on Demand, чтобы оценить степень безопасности десяти самых популярных iOS- и Android-часов. Специалисты HP охарактеризовали результаты как «разочаровывающие, но ожидаемые». Каждое без исключения носимое устройство страдало от серьезных уязвимостей: несовершенства системы аутентификации, отсутствия шифрования или недостаточного обеспечения приватности пользователя.
Все модели смарт-часов работали через пользовательский интерфейс без применения двухфакторной аутентификации или блокирования устройства после нескольких неудачных попыток ввода пароля. Треть протестированных устройств в той или иной форме «сливала» на удаленные сервера данные аккаунтов.
Также исследователей совершенно не удовлетворила безопасность используемых для коммуникации сетевых протоколов. Хотя каждое из проверенных устройств использовало безопасный протокол SSL/TLS, 40% «подопытных» часов все еще были уязвимы для POODLE-атак или использовали устаревший SSL v2.
В целом 30% смарт-часов используют облачный веб-интерфейс, который потенциально позволяет хакерам скомпрометировать действующие аккаунты через функцию восстановления пароля. Семь из десяти устройств имели проблемы с шифрованием: смарт-часы зачастую не могут получать зашифрованные обновления прошивки, хотя многие из подобных апдейтов призваны закрыть бреши для проникновения вредоносного ПО или предотвратить загрузку обновлений, содержащих баги. Из-за изъянов в шифровании эти файлы невозможно было загрузить на некоторые модели смарт-часов.
Кроме того, в HP очень обеспокоены тем, что многие смарт-часы представляют угрозу персональной безопасности и приватности. Все смарт-часы собирают персональные данные, безопасность хранения и передачи которых оставляет желать лучшего.
«Хотя смарт-часы – относительно новое явления в нашей жизни, они уже способны привнести в нее новые типы угроз и открыть злоумышленникам доступ к конфиденциальной информации, — признал Джесон Шмитт (Jason Schmitt), генеральный менеджер HP Security в Fortify. – По мере проникновения смарт-часов в нашу повседневность они становятся желанной целью для киберпреступников, и поэтому мы должны предпринимать меры предосторожности, открывая часам доступ к персональным данным или внедряя смарт-часы в корпоративной среде».
Эксперты HP советуют пользователям быть начеку и не давать смарт-часам доступ ко всей экосистеме устройств – в том числе к автомобилю или жилью – по крайней мере, пока изъяны в системе авторизации не будут ликвидированы.
Недавно Apple выпустила серию патчей для часов Apple Watch, которые вскоре появятся на прилавках и в России. В первом в своем роде обновлении Apple Watch OS компания закрыла ряд уязвимостей, среди которых были весьма серьезные баги: один из них мог быть использован для исполнения произвольного кода, другие же позволяли вредоносным приложениям повышать привилегии, вызывать отказ в обслуживании или выявлять структуру памяти ядра.
