Обычно внимание исследователей сфокусировано на том, чем уязвимости в Internet of Things угрожают пользователям. Однако есть и вторая сторона медали: уязвимости в «умных» устройствах представляют опасность для разрабатывающей их компании, поскольку могут привести к утечке данных, их повреждению, а также выводу из строя самих устройств или инфраструктуры.
На Mobile World Congress эксперты нашего центра реагирования на инциденты в сфере информационной безопасности промышленных объектов ( ICS CERT ) представили исследование умных протезов, разработанных компанией Motorica.
Для начала — хорошие новости. Во-первых, нашим экспертам не удалось найти уязвимости в прошивке самих протезов. Во-вторых, передача данных в системе Motorica происходит только в одном направлении — от протеза в облако. Так что, к примеру, взломать подключенный протез для того, чтобы удаленно им управлять, не получится — с этой точки зрения все хорошо.
Однако дальнейшее изучение показало, что при разработке облачной инфраструктуры, которая собирает и хранит телеметрические данные, полученные с протезов, были допущены серьезные ошибки. Вот какие возможности они открывают атакующему:
— Получить доступ к информации всех аккаунтов в системе — как пользовательских, так и администраторских, включая незашифрованные логины и пароли.
— Читать, удалять, или изменять любые данные телеметрии, хранящиеся в базе, а также добавлять новые.
— Добавлять новые аккаунты (включая администраторские).
— Удалять или изменять имеющиеся учетные записи — к примеру, поменять пароль администратора.
— Запустить DoS-атаку против администратора, препятствующую входу в систему.
Данные уязвимости могли потенциально привести к утечке всех пользовательских данных или их повреждению. Причем последний из пунктов вышеприведенного списка позволил бы значительно увеличить время реакции на взлом.
Разумеется, наши исследователи рассказали обо всех найденных уязвимостях компании Motorica, и на данный момент все проблемы устранены. К сожалению, эта маленькая победа не отменяет того факта, что в целом Интернет вещей продолжает оставаться небезопасным. Вот как это можно изменить:
— Разработчикам следует иметь представление о наиболее распространенных угрозах и правилах создания безопасного кода. Важно, чтобы это было так на всех этапах разработки — наше исследование очень наглядно иллюстрирует тот факт, что ошибки, допущенные при создании одной из частей системы, могут свести на нет все остальные усилия.
— Производителям «умных» вещей стоит использовать программы «баг-баунти» — это очень эффективный способ поиска уязвимостей и их устранения.
— В идеале следует заказывать аудит разрабатываемых продуктов экспертам по информационной безопасности.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Qozog‘istonda ichida O‘zbekiston fuqarolari bo‘lgan avtomobil yonib ketdi.
Ikki kishi shifoxonaga yotqizilgan..
-
Qashqadaryoda 350 ming xonadonning chiqindidan asossiz qarzdorligi bo‘yicha to‘lovlari qayta hisoblandi.
Qashqadaryoda yilning birinchi choragida 351 mingdan ortiq xonadondan chiqindi tashish bo‘yicha ko‘rsatilmagan xizmatlar uchun 15 mlrd so‘mdan...
-
Shimoliy Osetiyaga birinchi marta dronlar hujum qildi.
Shimoliy Osetiya rasmiylariga ko‘ra, dronlar Ukraina yo‘nalishidan kelgan. Dronlarning nishoni Mozdokdagi harbiy aerodrom bo‘lgan..
-
Yaxshi daromad, xalqaro kompaniyada ish, ilmda yutuqlar – maktabni bitirmay turib 17 yoshli qiz bularga qanday erishdi?.
Ozoda Mo‘minova bu yil 11-sinfni bitirdi. U yosh bo‘lishiga qaramay, xalqaro kompaniyada loyiha menejeri bo‘lib ishlaydi. Shu paytgacha AyTi va ilm...
-
O‘zbekistonda 10 iyun kuni qanday ob-havo kutilayotgani ma’lum qilindi.
Janubiy hududlarda havo harorati 41 darajagacha ko‘tariladi..
-
Франция терма жамоаси Евро-2024 учун якуний таркибни эълон қилди
Франция терма жамоаси матбуот хизмати расмий сайтида 2024 йилги Европа чемпионати учун терма жамоанинг якуний таркибини эълон қилди.