SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
13 Янв 2016

IoT-устройства по-прежнему уязвимы

ИБ-исследователи снова доказали, что производителям набирающих популярность IoT-продуктов для умного дома есть над чем поработать, а именно над безопасностью.

Очередная уязвимость была найдена в системе подключаемого к Интернету видеодомофона. Хотя брешь уже закрыта, новый инцидент вновь показал, каким незащищенным остается Интернет вещей, занимающий умы разработчиков компонентов и устройств.

Устройство под названием Ring стоимостью около $200 позволяет открывать дверь при помощи смартфона. Видеодомофон выполняет функции наружного видеонаблюдения, автоматически активируется, если к двери подходит человек, обеспечивает селекторную связь между хозяином и гостем. Также существует дополнительная опция: смарт-домофон “цепляется” к умным замкам, чтобы владелец мог открыть дверь, даже не находясь дома. Это весьма удобно, если хозяин, например, задержался в супермаркете, а его гости уже стоят и мерзнут у двери.

В целом возможности устройства вдохновили исследователей из британской компании Pen Test Partners, но первый же аудит безопасности поверг их в уныние. Во-первых, главный уязвимый компонент системы — кнопка звонка, которая подключена к плате, обеспечивающей электропитание звонка и его взаимодействие с электроникой. Кнопка крепится снаружи и может быть легко украдена любым человеком, вооруженным отверткой. В этом случае компания-производитель Ring предлагает бесплатную замену, так что в этом случае владельцам повезло.

Во-вторых, это не единственная проблема безопасности. В результате совсем несложной атаки злоумышленник может украсть пароль от Wi-Fi. Для этого достаточно снять наружную систему с крепления, перевернуть и нажать на оранжевую кнопку с надписью “Set up” (“Настройка”). После этого беспроводной модуль устройства от Gainspan переходит в режим настройки, в котором он выполняет функции точки доступа Wi-Fi.

“Подключившись к веб-серверу через модуль Gainspan, можно получить конфигурацию беспроводной сети, включая SSID и PSK, в незашифрованном виде”, — поясняют эксперты. Проблема, очевидно, связана в большей степени с беспроводным модулем Gainspan, так как исследователи обнаружили аналогичную проблему в умных весах Fitbit Aria. Но, в отличие от весов, кнопка звонка располагается снаружи, что весьма облегчает задачу взломщикам.

Таким образом, атака на умный домофон весьма проста, не требует особых навыков и не оставляет видимых следов. В Ring заверили, что баг уже давно закрыт в новой версии прошивки; очевидно, экземпляр, попавший на тестирование в Pen Test Partners, использовал устаревшую прошивку.

В компании сообщили, что уязвимость была запатчена в версии прошивки 1.5 от 11 августа 2015 года, а самая актуальная версия прошивки на сегодняшний день — 1.6. Кроме того, каждый раз при активации устройство автоматически проверяет сеть на наличие новой версии прошивки, и процесс обновления очень прост. Исследователи Pen Test Partners в свою очередь подчеркнули, что купили домофон на Amazon в декабре и он был уязвим, то есть любой пользователь мог потенциально столкнуться с этой проблемой.

Теги:
утечка информации Wi-Fi Интернет вещей
Источник:
Threatpost
937
ДРУГИЕ НОВОСТИ
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
17 Май 2018 safeum news imgage Крупнейшие сотовые операторы США продают доступ к данным о местоположении клиентов
16 Май 2018 safeum news imgage В Австралии Google обвинили в сборе данных за счет пользователей
15 Май 2018 safeum news imgage Wi-Fi для пассажиров позволяет хакерам захватить управление поездом
15 Май 2018 safeum news imgage Произошла утечка данных трёх миллионов пользователей Facebook
Все новости
SafeUM
Конфиденциальность Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015