Нетипичная уязвимость «умного устройства» компании Motorica
«Лаборатория Касперского» опубликовала материал, описывающий исследование «брешей» одного из представителей IoT (Internet of Things, Интернет вещей) умного протеза, разработанного компанией Motorica.
Согласно статье «Умный протез: взломать, чтобы защитить», подготовленной «Лабораторией Касперского», безопасность IoT-разработок оставляет желать лучшего.
«Интернет вещей уже давно стал всеобщим посмешищем среди экспертов по ИБ, и на любой хакерской конференции обязательно прозвучит доклад, в котором расскажут об очередном «умном» устройстве, взломанном вдоль и поперек», - говорится в материале.
Чаще всего уязвимости затрагивают зону информационной безопасности покупателей подобных устройств, но в случае с умным протезом компании Motorica в зоне риска оказался не пользователь, а производитель.
Эксперты центра реагирования на инциденты в сфере информационной безопасности промышленных объектов (ICS CERT) «Лаборатории Касперского» по результатам проведенного ими исследования разработки Motorica пришли к следующим выводам:
- прошивка протезов не содержит уязвимостей, передача информации происходит только от устройства в облако, что говорит о том, что взломать подключенный протез и удаленно им управлять у злоумышленников не получится;
- собирающая и хранящая телеметрические данные с протезов облачная инфраструктура содержит ряд серьезных ошибок.
Уязвимости в «облаке» позволяют злоумышленникам:
- получить доступ ко всем аккаунтам в системе (и к пользовательским, и к администраторским),
- добавлять, удалять или изменять любые хранящиеся в ней телеметрические данные,
- редактировать или удалять имеющиеся «учетки», например, подменять пароль администратора на собственный,
- запустить DoS-атаку против администратора, препятствующую входу в систему, и прочее.
Таким образом, хаккеры могли вывести из строя саму систему. Исследователи передали информацию обо всех обнаруженных уязвимостях производителю, и на текущий момент все проблемы устранены. Однако, это не отменяет того факта, что Интернет вещей при всей его технической и инновационной оснащенности продолжает быть крайне небезопасным.
Эксперты рекомендуют разработчикам:
- уделять пристальное внимание каждому этапу работы, ведь ошибка в одной из частей системы может обесценить все остальные усилия,
- владеть знаниями о наиболее распространенных угрозах и правилах создания безопасного кода,
- тестировать умные устройства и при помощи объявления вознаграждения за нахождение ошибок, и заказав экспертный аудит у специалистов по информационной безопасности.
Источник: «Лаборатория Касперского»
Читайте также:
ПодписатьсяРасширение запрета на допуск к госзакупкам иностранных товаров
Запрет на допуск к госзакупкам товаров машиностроения иностранного производства распространили на технику, закупаемую по договорам лизинга.
Видеоконференция ФАС: Изменение законодательства по госзаказу и включение компаний в РНП
В ФАС России в режиме видеоконференции состоялось совещание с территориальными органами по актуальным вопросам контроля в сфере размещения госзаказа.