Обычно внимание исследователей сфокусировано на том, чем уязвимости в Internet of Things угрожают пользователям. Однако есть и вторая сторона медали: уязвимости в «умных» устройствах представляют опасность для разрабатывающей их компании, поскольку могут привести к утечке данных, их повреждению, а также выводу из строя самих устройств или инфраструктуры.
На Mobile World Congress эксперты нашего центра реагирования на инциденты в сфере информационной безопасности промышленных объектов ( ICS CERT ) представили исследование умных протезов, разработанных компанией Motorica.
Для начала — хорошие новости. Во-первых, нашим экспертам не удалось найти уязвимости в прошивке самих протезов. Во-вторых, передача данных в системе Motorica происходит только в одном направлении — от протеза в облако. Так что, к примеру, взломать подключенный протез для того, чтобы удаленно им управлять, не получится — с этой точки зрения все хорошо.
Однако дальнейшее изучение показало, что при разработке облачной инфраструктуры, которая собирает и хранит телеметрические данные, полученные с протезов, были допущены серьезные ошибки. Вот какие возможности они открывают атакующему:
— Получить доступ к информации всех аккаунтов в системе — как пользовательских, так и администраторских, включая незашифрованные логины и пароли.
— Читать, удалять, или изменять любые данные телеметрии, хранящиеся в базе, а также добавлять новые.
— Добавлять новые аккаунты (включая администраторские).
— Удалять или изменять имеющиеся учетные записи — к примеру, поменять пароль администратора.
— Запустить DoS-атаку против администратора, препятствующую входу в систему.
Данные уязвимости могли потенциально привести к утечке всех пользовательских данных или их повреждению. Причем последний из пунктов вышеприведенного списка позволил бы значительно увеличить время реакции на взлом.
Разумеется, наши исследователи рассказали обо всех найденных уязвимостях компании Motorica, и на данный момент все проблемы устранены. К сожалению, эта маленькая победа не отменяет того факта, что в целом Интернет вещей продолжает оставаться небезопасным. Вот как это можно изменить:
— Разработчикам следует иметь представление о наиболее распространенных угрозах и правилах создания безопасного кода. Важно, чтобы это было так на всех этапах разработки — наше исследование очень наглядно иллюстрирует тот факт, что ошибки, допущенные при создании одной из частей системы, могут свести на нет все остальные усилия.
— Производителям «умных» вещей стоит использовать программы «баг-баунти» — это очень эффективный способ поиска уязвимостей и их устранения.
— В идеале следует заказывать аудит разрабатываемых продуктов экспертам по информационной безопасности.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Артета: "Буни давом эттиришимиз керак"
"Арсенал" бош мураббийи Микель Артета "Челси"га қарши дерби олдидан фикр билдирди.
-
O‘zbekiston mart oyida 1,35 mlrd dollarlik oltin eksport qildi.
Mart oyida O‘zbekiston 1,35 mlrd dollarlik, yil boshidan buyon esa 2,66 mlrd dollarlik oltin eksport qildi. .
-
Toshkentda 02 kodli avtoraqamlar taxminan qachon paydo bo‘lishi aytildi.
IIV Yo‘l harakati xavfsizligi xizmati Toshkent shahrida 02 kodli avtoraqamlardan qachondan foydalanish mumkinligini ma’lum qildi..
-
“O‘g‘limni o‘ldiraman degani uchun 1,5 litr benzin to‘kdim va yoqdim". Erining qo‘l-oyog‘ini bog‘lab yoqib yuborgan ayol 12 yilga qamaldi.
Sud hukmi bilan ayol o‘ta shafqatsizlik bilan odam o‘ldirganlikda aybli deb topildi. Ayol avval ham qarindoshiga pichoq bilan tan jarohati yetgani...
-
NASA 47 yil oldin koinotga uchirilgan «Voyager 1» bilan aloqani tikladi.
So‘nggi 5 oy davomida stansiya Yerga g‘alati signallarni yuborayotgan edi..
-
G‘allaoroldagi YTH oqibatida ikki emas, uch nafar o‘quvchi halok bo‘lgani ma’lum bo‘ldi.
Viloyat IIB YHXB axborot xizmati tarqatgan xabarda YTH oqibatida ikki o‘quvchi halok bo‘lgani aytilgandi. Biroq o‘sha kuni Lasetti uch nafar...