Носимые гаджеты и прочие устройства, которые нужно настраивать через специальное приложение, уязвимы как минимум перед тремя видами атак. На конференции Black Hat Asia инженер по безопасности Intel Sport Group Кавья Рачарла (Kavya Racharla) и основатель ИБ-компании Deep Armor Сумант Наропант (Sumanth Naropanth) рассказали, что существующие темпы разработки ПО не оставляют достаточно времени для отлова багов в IoT-продуктах.

По словам спикеров, носимые устройства представляют собой обычные компьютеры с сетевым подключением. Однако тот факт, что они работают с персональной информацией, повышает риски для владельцев таких гаджетов. Ситуацию усложняет то, что разработчики зачастую пренебрегают правилами безопасности и хранят данные в незашифрованном виде. Это позволяет злоумышленникам вмешиваться в обмен информацией между устройством и мобильными приложениями — например, с помощью специализированных вредоносов, которые эксплуатируют уязвимости Bluetooth-протокола.

Еще один вектор атаки связан с облаками, в которых пользователи накапливают и анализируют статистику (например, фитнес-показатели). За последние годы облачные контейнеры стали причиной сразу нескольких громких утечек, включая слив данных об американских избирателях, закрытой информации медиагиганта Time Warner Cable и корпорации Uber. Кроме того, Рачарла и Наропант подчеркнули, что носимые устройства уязвимы перед XSS-атаками, которые откроют взломщикам полный набор сведений о пользователе.

Как показывает практика, этим угрозам подвержен Интернет вещей как таковой. Спикеры привели в пример знаменитый ботнет Mirai, который вел DDoS-атаки с уязвимых веб-камер и роутеров. В январе «белые» хакеры обнаружили десятки тысяч сетевых устройств, которые в любой момент могут стать жертвами новых подобных нападений. Эксперты посоветовали производителям добавить в цикл разработки ПО отдельные этапы, посвященные обеспечению безопасности и приватности. Компаниям также следует привлекать к созданию продуктов юридических специалистов и иметь план действий на случай утечки данных.

Интернет вещей стабильно занимает верхние строчки в рейтингах угроз информационной безопасности. В декабрьском прогнозе «Лаборатории Касперского» по негативным трендам 2018 года с подключенными устройствами оказались связаны 5 из 8 позиций. Ранее аналитики Deloitte сообщали, что проблемы с защитой данных тормозят развитие IoT, а большинство производителей не предпринимает достаточных усилий, чтобы устранить эти риски.

Впрочем, есть и положительные примеры, которые позволяют экспертам рынка говорить о жизнеспособности Интернета вещей. Так, в июне эксперт по IoT-безопасности Марк Лавлесс (Mark Loveless) протестировал умную дрель, которая использует сетевое подключение для настройки и блокировки в случае кражи. По словам Лавлесса, производитель защитил свой продукт от всех критических угроз, и если бы его примеру последовали другие крупные компании, «у ботнета Mirai не было бы шансов».

Категории: Аналитика, Главное, Уязвимости