Обычно внимание исследователей сфокусировано на том, чем уязвимости в Internet of Things угрожают пользователям. Однако есть и вторая сторона медали: уязвимости в «умных» устройствах представляют опасность для разрабатывающей их компании, поскольку могут привести к утечке данных, их повреждению, а также выводу из строя самих устройств или инфраструктуры.
На Mobile World Congress эксперты нашего центра реагирования на инциденты в сфере информационной безопасности промышленных объектов ( ICS CERT ) представили исследование умных протезов, разработанных компанией Motorica.
Для начала — хорошие новости. Во-первых, нашим экспертам не удалось найти уязвимости в прошивке самих протезов. Во-вторых, передача данных в системе Motorica происходит только в одном направлении — от протеза в облако. Так что, к примеру, взломать подключенный протез для того, чтобы удаленно им управлять, не получится — с этой точки зрения все хорошо.
Однако дальнейшее изучение показало, что при разработке облачной инфраструктуры, которая собирает и хранит телеметрические данные, полученные с протезов, были допущены серьезные ошибки. Вот какие возможности они открывают атакующему:
— Получить доступ к информации всех аккаунтов в системе — как пользовательских, так и администраторских, включая незашифрованные логины и пароли.
— Читать, удалять, или изменять любые данные телеметрии, хранящиеся в базе, а также добавлять новые.
— Добавлять новые аккаунты (включая администраторские).
— Удалять или изменять имеющиеся учетные записи — к примеру, поменять пароль администратора.
— Запустить DoS-атаку против администратора, препятствующую входу в систему.
Данные уязвимости могли потенциально привести к утечке всех пользовательских данных или их повреждению. Причем последний из пунктов вышеприведенного списка позволил бы значительно увеличить время реакции на взлом.
Разумеется, наши исследователи рассказали обо всех найденных уязвимостях компании Motorica, и на данный момент все проблемы устранены. К сожалению, эта маленькая победа не отменяет того факта, что в целом Интернет вещей продолжает оставаться небезопасным. Вот как это можно изменить:
— Разработчикам следует иметь представление о наиболее распространенных угрозах и правилах создания безопасного кода. Важно, чтобы это было так на всех этапах разработки — наше исследование очень наглядно иллюстрирует тот факт, что ошибки, допущенные при создании одной из частей системы, могут свести на нет все остальные усилия.
— Производителям «умных» вещей стоит использовать программы «баг-баунти» — это очень эффективный способ поиска уязвимостей и их устранения.
— В идеале следует заказывать аудит разрабатываемых продуктов экспертам по информационной безопасности.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Toshkentda yo‘l chetidagi daraxtga borib urilgan Lacetti haydovchisi vafot etdi.
Yashnobod tumani Elbek ko‘chasida 1998 yilda tug‘ilgan haydovchi Lacetti'ni boshqarib ketayotib, rul boshqaruvini yo‘qotgan va yo‘l chetidagi...
-
Telegram o‘z ichki valutasini joriy qildi.
Telegram Stars deb nomlangan raqamli valutani elektron kitoblar va onlayn kurslardan tortib to o‘yinlardagi mahsulotlargacha har qanday raqamli...
-
Bayden AQShning Ukrainaga yordami kechikkani uchun Zelenskiydan uzr so‘radi.
U yana 225 million dollarlik yordam va’da qilgan..
-
Issiq urishi tanaga qanday ta’sir qiladi? Shu sabab ham odam o‘lishi mumkinmi?.
Kuchli issiq sabab tana o‘zini sovutishga harakat qilib zo‘riqadi va natijada yurak xuruji kabi xavfli holatlar sodir bo‘ladi. Statistikaga ko‘ra,...
-
Rossiya kompaniyasi O‘zbekistonga elektr energiyasi yetkazib berishni boshlashi mumkin.
Rossiyaning «Inter RAO» energetika kompaniyasi O‘zbekistonga elektr yetkazib berishni rejalashtiryapti. Kompaniya kuzatuv kengashi raisi Aleksandra...
-
Qozog‘istonda ichida O‘zbekiston fuqarolari bo‘lgan avtomobil yonib ketdi.
Ikki kishi shifoxonaga yotqizilgan..