Уязвимости в системах безопасности для дома – исследование HP
Компания HP опубликовала результаты исследования, которое показало, что за домами, оснащенными системами безопасности с подключением к Интернету, могут наблюдать не только их владельцы, но и злоумышленники. Все проанализированные устройства, используемые для обеспечения безопасности домов, имеют серьезные уязвимости, в том числе связанные с защитой паролем, шифрованием и проверкой подлинности.
Такие средства мониторинга домов, как видеокамеры и системы сигнализации, стали популярны на волне бума Интернета вещей (IoT), в первую очередь благодаря их удобству. Однако они могут сделать дома и весьма уязвимыми. Как подчеркивают в HP, учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о простых мерах защиты.
HP использовала приложение HP Fortify on Demand для доступа к 10 домашним IoT-устройствам обеспечения безопасности, а также к их облачным и мобильным компонентам, и обнаружила, что ни одна из этих систем не требует использования надежного пароля и не предлагает двухфакторной проверки подлинности.
В числе наиболее распространенных проблем с безопасностью оказались следующие.
• Недостаточно надежная проверка подлинности: все системы с их облачными и мобильными интерфейсами не требовали установки паролей достаточной сложности и длины; для большинства было достаточно буквенно-цифрового пароля из шести символов. Ни одна из систем не предлагала возможности заблокировать учетную запись после определенного числа неудачных попыток ввода пароля.
• Незащищенные интерфейсы: все протестированные облачные Web-интерфейсы имеют проблемы безопасности, позволяющие злоумышленнику получить доступ к учетной записи с помощью инструментов, использующих три уязвимости приложения: возможность последовательного перебора значений, слабая политика паролей и отсутствие блокировки учетной записи. В пяти из десяти протестированных систем были выявлены проблемы в интерфейсе мобильного приложения, подвергающие пользователей аналогичным рискам.
• Проблемы конфиденциальности: все системы собирали некоторые виды персональной информации, такие как имя, адрес, дата рождения, номер телефона и даже номера кредитных карт. Незащищенность этой персональной информации вызывает озабоченность, поскольку создает угрозу кражи учетных данных во всех системах. Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через мобильные приложения и облачные Web-интерфейсы. Конфиденциальность видеоизображений внутренних помещений дома находится под большим вопросом.
• Отсутствие шифрования при передаче данных: хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак. Правильная настройка шифрования на транспортном уровне особенно важна, поскольку безопасность является основной функцией этих систем.
Потребителям настоятельно рекомендуется учитывать все эти аспекты при выборе системы мониторинга для своего дома. Развертывание безопасных домашних сетей до подключения небезопасных IoT-устройств, использование сложных паролей, блокировки учетных записей и двухфакторной проверки подлинности –вот лишь некоторые меры, доступные пользователям Интернета вещей.