70% подключенных к “Интернету Вещей” (IoT) устройств уязвимы для хакеров - исследование HP

Как показало исследование, устройства, относящиеся к концепции Интернета Вещей (IoT), имеют приблизительно по 25 уязвимостей на продукт, что значительно расширяет возможности хакеров для атаки.

HP опубликовали результаты исследования, в которых выяснилось, что 70% устройств, подключенных к IoT, имеют уязвимости, в числе которых можно назвать проблемы с безопасностью паролей, шифрованием трафика, а также полное отсутствие строгого контроля над доступом к информации пользователя.

С развитием IoT, общее число и многообразие подключаемых устройств по ожиданиям будет расти в геометрической прогрессии.

Так как уровень спроса растет, производители вынуждены быстро выводить на рынок устройства, способные подключаться к IoT, встраивать в них возможности доступа к облачным сервисам и мобильным приложениям, чтобы иметь свою долю на рынке. И, хотя развитие технологий мира IoT обещает значительные выгоды для потребителей, оно также создает дыры в безопасности, начиная от уязвимостей в программном обеспечении, что может привести к DOS-атаке, и заканчивая слабыми паролями и уязвимостями межсайтового скриптинга.

HP, с помощью собственного продукта HP Fortify, исследовали 10 самых популярных устройств, подключенных к IoT, в каждом из которых оказалось приблизительно 25 уязвимостей. Общая сумма уязвимостей в безопасности во всех тестируемых продуктов составила 250.

Экспертами были исследованы самые основные и общие вопросы безопасности, в число которых вошли:

1) Вопросы конфиденциальности

8 из 10 проверенных устройств, вместе с используемыми ими облачными и мобильными компонентами, показали уязвимости в вопросах сохранения приватности информации. Указанные устройства собирали информацию, такую, как имя пользователя, его электронную почту, домашний адрес, дату рождения, данные о банковском счете, медицинские данные. Вся эта информация может оказаться в руках злоумышленника. 90% протестированных устройств собирали часть личной информации при помощи самого устройства, облачного сервиса или мобильного приложения.

2) Незащищенная авторизация

80% протестированных устройств, подключенных к IoT, а также прилагающиеся к ним облачные сервисы и мобильные компоненты, не позволяют устанавливать пароли достаточной сложности и длины, при этом большинство устройств разрешает устанавливать пароль, такой, как «1234».

3) Отсутствие шифрования информации

70% протестированных устройств не шифровали передаваемые в интернет или локальную сеть данные, а в половине мобильных приложений для этих устройств осуществлялась незашифрованная передача данных в облачные сервисы, интернет, локальную сеть.

4) Небезопасный веб-интерфейс

В 6 из 10 проверенных устройств нашлись проблемы с безопасностью пользовательских интерфейсов, которые могут стать причиной межсайтового скриптинга. Во время сеанса управления данными клиент защищен слабо, обнаружились также слабые настройки защиты, установленные по умолчанию. Оказалось, что некоторые данные вообще не шифруются и передаются «как есть». 70% устройств с поддержкой облачных сервисов и мобильных приложений имеют слабые места в защите, благодаря чему потенциальный злоумышленник может получить возможность присвоить действующий пользовательский аккаунт, с помощью функции подбора и сброса пароля.

5) Недостаточная защита программного обеспечения

60% устройств не используют шифрование при загрузке обновлений для программного обеспечения.
Для защиты от угроз безопасности, которые появляются вместе с развитием IoT, необходим комплексный подход в разработке от начала до конца, чтобы выявлять уязвимости в ПО до того, как оно поступает в эксплуатацию.