vk_logo twitter_logo facebook_logo youtube_logo telegram_logo telegram_logo

Треть Android-приложений для IoT-устройств не использует шифрование

Дата публикации: 06.02.2019
Количество просмотров: 1549
Автор:

Более трети умных устройств из Топ-100 Amazon потенциально уязвимы для хакерских атак. Часть из них не использует шифрование, а часть работает со встроенными ключами шифрования.

Большинство производителей устройств IoT предоставляют приложения для смартфонов и облачные сервисы для мониторинга и управления своими устройствами. Озаботившись безопасностью такой схемы, группа из бразильского Федерального университета Пернамбуко и американского Университета Мичигана в качестве объекта исследования выбрала софт для ста самых продаваемых на Amazon устройств, из которых были отобраны 96 гаджетов с поддержкой Wi-Fi и Bluetooth. В выборку попали 32 уникальных приложения (например, для нескольких гаджетов от одного и того же производителя или одно приложение для устройств от разных компаний).

Авторы обнаружили отсутствие шифрования в 31 проценте проанализированных приложений и использование встроенных ключей шифрования в 19 процентах всех случаев. Таким образом, как минимум, 50 процентов всех приложений оказались потенциально уязвимыми для эксплойтов. Эти приложения подходили для 37 из 96 выбранных устройств. Среди них камеры, замки и сигнализация, от которых зависит безопасность помещений и других объектов. Многие из этих приложений контролировали свои устройства через локальную связь или через широковещательные сообщения, включая протокол UDP.

Результаты анализа приложений
Результаты анализа приложений

Анализ показал, что 18 процентов всех приложений использовали небезопасные протоколы передачи данных, 56 процентов – локальную связь и 45 процентов – широковещательные сообщения. Только четыре из 32 приложений не содержали всех четырех факторов риска (встроенные ключи шифрования, локальную связь, широковещательную передачу и известные небезопасные протоколы). Для них связь была организована через облачный сервис.

Потенциальные угрозы выбранным приложениям
Потенциальные угрозы выбранным приложениям

Также были выбраны и куплены пять устройств (причем для двух из них использовалось одно приложение), для которых исследователи разработали эксплойты для успешной атаки. К примеру, после сканирования и установки связи с умной лампой, подключенной через устройство от TP-Link, авторы смогли включать и отключать освещение со смартфона. При этом "легальный пользователь" также контролировал лампу со своего телефона и не догадывался о перехвате управления.

Управление умной лампой через легальное приложение Kasa for Mobile и приложение-эксплойт
Управление умной лампой через легальное приложение Kasa for Mobile и приложение-эксплойт

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/103288/tret-android-prilojeniy-dlya-iot-ustroystv-ne-ispolzuet-shifrovanie.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться