Компания HP во вторник опубликовала неутешительные результаты проверки домашних систем обеспечения безопасности (видеокамеры, датчики движения и пр.), подключенных к Интернету. У 100% устройств, протестированных сервисом HP Fortify OnDemand найдены значительные уязвимости, в том числе в средствах аутентификации, шифрования и паролевой защиты.
Gartner прогнозирует, что в текущем году в мире будет использоваться 4,9 млрдподключенных устройств, на 30% больше, чем в 2014 г., а к 2020 г. их число достигнет 25 млрд.
Проведенное исследование показывает насколько незрелым является этот огромный и динамический рынок с точки зрения безопасности. Оно поднимает вопрос, действительно ли подключенные средства мониторинга делают наши дома безопаснее или же подвергают еще большему риску, обеспечивая легкий доступ к незащищенному оборудованию IoT.
В ходе проверки десяти таких устройств, HP Fortify on Demand удалось взломать не только их защиту, но и проникнуть в соответствующие мобильные приложения и облачные компоненты. Все веб-интерфейсы и пять из десяти мобильных приложений были защищены шестизначными цифро-буквенными паролями и не блокировались после определенного числа неудачных попыток, также отсутствовала возможность двухфакторной аутентификации.
Из наиболее частых и легко исправимых проблем отмечены: недостаточная авторизация, небезопасные интерфейсы, риски для приватности (легкий доступ к персональным данным владельца, вплоть до номера кредитной карты, и к видеотрансляциям камер наблюдения) и неправильно сконфигурированное транспортное шифрование (несмотря на использование SSL/TLS многие облачные соединения остались уязвимы для атак, таких как POODLE).
Подводя черту под результатами исследования, вице-президент HP и генеральный менеджер HP Fortify, Enterprise Security Products, Джейсон Шмитт (Jason Schmitt), заявил: «Учитывая, что десять из десяти ведущих систем лишены фундаментальных функций безопасности, потребители должны применять все доступные им простые и практичные меры защиты, а производителям следует самостоятельно работать над улучшением безопасности своей продукции, чтобы невольно не подвергать клиентов серьезным угрозам».
Свежие комментарии