Security Week 07: локальные уязвимости IoT-устройств

Все блоги / Про интернет 11 февраля 2019 9   
В традиционную рубрику «что еще не так с IoT» на прошлой неделе добавилось научное исследование специалистов из американского Мичиганского университета и бразильского Федерального университета Пернамбуку. В рамках исследования было изучено 96 IoT-устройств для умного дома из списка самых продаваемых на площадке Amazon. Ученые проанализировали приложения для управления этими устройствами со смартфона, как вручную, так и с помощью автоматизированных инструментов анализа сетевых коммуникаций. Искали прежде всего уязвимости, позволяющие перехватить контроль над IoT-устройствами из-за недостаточно защищенного соединения.



Для 96 разных устройств удалось собрать 32 уникальных управляющих приложения. Из них половина либо не шифрует трафик при работе с IoT, либо использует фиксированные ключи шифрования. Соответственно, управлять устройствами может не только владелец, но и вообще кто угодно, с одной оговоркой — если есть доступ к локальной сети. Исследование в PDF находится здесь, краткое содержание на русском есть в этой новости. Мы же остановимся на наиболее интересных деталях работы.
Читать дальше →
  • Оцените публикацию
  • 0

Похожие публикации

IoT Security Week 40: уязвимости в CMS Drupal и не только

На прошлой неделе разработчики CMS Drupal закрыли (новость, подробнее у них на сайте) сразу две критические уязвимости. Обе проблемы затрагивают Drupal версий 7.x и 8.x. Наиболее серьезная уязвимость была обнаружена во встроенной системе отправки e-mail (DefaultMailSystem::mail()). Можно

подробнее »
IoT Security Week 38: уязвимости в роутерах MikroTik, D-Link и TP-Link

Кажется, пора переименовывать дайджест. За прошедшую неделю вышло сразу три исследования про новые дыры в трех разных роутерах, еще одно — про уязвимость в умных телевизорах Sony, и еще — про безопасность роутеров в целом, в межгалактическом мировом масштабе. К счастью, есть что обсудить. К

подробнее »
[Из песочницы] Основы безопасности IoT

В этой вводной статье мы рассмотрим основные аспекты безопасности одной из самых популярных тем в последнее время — интернета вещей. Если вы, так или иначе, в курсе новостей в сфере кибербезопасности, то могли заметить, что участились случаи создания ботнетов из ip-камер, специалисты по

подробнее »
Attify OS — дистрибутив для тестирования на проникновения IoT

Мало кто знает, что буква S в аббревиатуре IoT означает Security. В этой статье я расскажу о дистрибутиве Attify OS, предназначенном для тестирования IoT- устройств. Читать дальше →

подробнее »
Google представила решение для управления и анализа данных «интернета вещей»

Google Cloud представила решение Cloud IoT Core, которое позволит компаниям управлять устройствами «интернета вещей» и обрабатывать генерируемые ими данные, пишет TechCrunch.

подробнее »
[Перевод] Безопасность в IoT: Стратегия всесторонней защиты

Чтобы обеспечить надлежащий уровень безопасности для инфраструктуры IoT, необходима стратегия всесторонней защиты. В рамках неё обеспечивается защита данных в облаке, защита целостности данных при передаче в Интернет, а также безопасное производство устройств. В статье приведена классификация

подробнее »
@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent