Эта уязвимость в системе безопасности может превратить устройство IoT в неприятного шпиона

Опубликовано: 2021-06-24

IoT оказал заметное влияние на нашу жизнь. Теперь у нас есть устройства, подключенные к сети, которые способны сделать нашу жизнь намного проще и комфортнее. От смартфонов до смарт-часов, дверных звонков с подключением к Интернету, дверных сигнализаций, камер видеонаблюдения, динамиков, дверных замков, фонарей, лампочек и радионянь — список просто бесконечен. Тем не менее, с этим благом вокруг нависает проклятие, а именно, злоумышленники могут взломать эти устройства, и, если не принять своевременных мер, они могут нанести ущерб нашей жизни. Но когда хакеры смогут использовать устройства IoT? Ответ заключается в том, что они обнаруживают уязвимость в системе безопасности или когда мы, пользователи, не придерживаемся здоровых привычек в области безопасности.

Мы рассмотрим привычки безопасности со стороны пользователя позже в этом блоге, но давайте сначала обсудим, как уязвимость в системе безопасности может привести хакера к вашему IoT-устройству, а затем к вашей личной или профессиональной жизни. Совсем недавно уязвимость системы безопасности поразила устройства IoT. Этот недостаток безопасности может дать доступ к вашим аудио- и видеопотокам Интернета вещей и превратиться в инструмент для слежки.

О чем эта уязвимость в системе безопасности? Насколько серьезным является недостаток безопасности

По словам исследователей из Nozomi Networks Lab и DHS, уязвимость в системе безопасности может позволить злоумышленникам вмешаться в устройство IoT. Они могут легко преобразовать данное устройство IoT, такое как домашняя камера безопасности, радионяня или умный дверной звонок, в инструмент для слежки. Из-за этой уязвимости они также могут красть важные данные или следить за видеопотоками. Помимо вторжения в чью-то личную жизнь через вышеупомянутые каналы, злоумышленник может даже украсть важные бизнес-данные, такие как данные, относящиеся к клиентам, сотрудникам или даже производственным технологиям. Недостаток безопасности действительно очень серьезный. Настолько, что Общая система оценки уязвимостей (CVSS) оценивает его в 9,1/10 по шкале серьезности.

Как появился этот недостаток безопасности?

Безопасность
Источник: onetech

Уязвимость представляет собой ошибку цепочки поставок, которая была обнаружена в программном компоненте (P2P SDK), произведенном компанией ThroughTek, которая является одним из известных поставщиков устройств IoT. SDK P2P обеспечивает удаленный доступ к аудио/видеопотокам через Интернет. SDK используется в интеллектуальных датчиках, камерах безопасности, таких как камеры наблюдения за детьми и домашними животными, дверных звонках и т. д., и помогает зрителю получить доступ к аудио/видеопотокам. Уязвимость затрагивает версию P2P 3.1.5 или более раннюю. Как продемонстрировал Nozomi, более старые версии SDK позволяют перехватывать пакеты данных во время их передачи. Хакер может преобразовать эти пакеты в полноценные аудио- или видеопотоки.

Защита ThroughTek

ThroughTek устранил эту ошибку в версии 3.3, выпущенной в середине 2020 года. Хотя проблема в том, что довольно много устройств все еще используют старую сборку. Во-вторых, согласно ThroughTek, для проведения атаки потенциальный злоумышленник должен иметь обширные знания об инструментах анализа сети, сетевой безопасности и алгоритме шифрования.

У нас были случаи уязвимостей IoT и хакерских атак в прошлом

Хакерские атаки
Источник: HornetSecurity
  • Ботнет Mirai или атака Dyn в 2016 году. Это была крупнейшая DDoS-атака на поставщика услуг Dyn, которая привела к отключению значительной части Интернета, включая Netflix, Reddit, Twitter и CNN.
  • Согласно последним данным ФБР, есть производители Smart TV, для которых безопасность является второстепенной задачей, и хакер может использовать незащищенный телевизор не только для управления вашими каналами или громкостью, но и для того, чтобы преследовать вас.
  • Исследователь из Техасского университета в Сан-Антонио утверждает, что хакеры могут использовать умные лампочки с инфракрасным излучением для заражения других устройств IoT.
  • Исследователи обнаружили жучки в знаменитом умном засове, которые могли позволить злоумышленникам проникать в дома или даже открывать двери.

Есть над чем задуматься

Прогнозируется, что к 2025 году будет более 21 миллиарда устройств IoT. Это почти в 3 раза больше, чем все население мира. Вышеприведенное исследование открывает глаза как разработчикам, так и пользователям: если не обратить на них внимания, мы можем только гадать, сколько пользователей станут жертвами кибератак.

Не нужно бояться! Стежок во времени поможет увернуться от атаки IoT

Пока разработчики вносят свой вклад, исправляют недостатки и противодействуют таким атакам, что вы, как пользователь, можете сделать? Нет! Мы не хотим разгружать технические детали или пугать вас, есть несколько очень простых шагов, которые вы можете предпринять, чтобы избежать таких атак/уязвимостей IoT и защитить свои устройства IoT.

  1. По данным «Лаборатории Касперского», почти 86 % организаций имеют устаревшее программное обеспечение. Итак, обновляйте свои устройства IoT, особенно если вы являетесь компанией, чья жизнь зависит от устройств IoT.
  2. Перед покупкой устройства IoT — умной лампочки, умного дверного звонка, камеры, динамика, умного телевизора или чего-то еще — проведите исследование. Проверьте, не сталкивалось ли устройство недавно с проблемой уязвимости или нет.
  3. Используйте VPN, который может противостоять DDoS-атакам. Если ваше устройство IoT подключено к вашему ноутбуку и вы используете его в общедоступной сети Wi-Fi, вы можете использовать VPN, например Systweak VPN . Он может защитить вас от атак «человек посередине», DDoS-атак или заражения вредоносным ПО при использовании общедоступной сети Wi-Fi.

Загрузите Systweak VPN прямо сейчас

скачать

Прочтите полный обзор Systweak VPN

  1. Полностью отключайте устройство IoT от сети, когда оно не используется. Это просто, когда ваше устройство отключено от Интернета, у хакера не будет цели для использования
  2. Отключите UPnP (универсальное Plug and Play). Эта функция предназначена для того, чтобы помочь гаджетам обнаруживать другие сетевые устройства. С помощью этой функции хакеры могут проникнуть в ваше устройство. Ваша лучшая ставка? Полностью отключить эту функцию
  3. Используйте надежные пароли для сетей Wi-Fi, учетных записей устройств и даже подключенных устройств. Если возможно, используйте менеджер паролей. Почему? Потому что в наши дни менеджеры паролей позволяют вам генерировать надежные пароли каждый раз. Возьмем, к примеру, LastPass, у него есть встроенный менеджер паролей, который позволяет вам генерировать рандомизированные, длинные и труднопревзойденные пароли.
  4. Если вы не читаете политику конфиденциальности приложений, возможно, сейчас самое время это сделать. По крайней мере, вы будете иметь представление о том, чем вас просят поделиться.

В конце концов

Ближайшее будущее приветствует устройства IoT. Поскольку эта сила становится все более доступной, нам нужно стать более бдительными и информированными. Этот блог — небольшой шаг на пути к этому. Любите IoT так же, как мы, и хотим работать над тем, чтобы сделать его более безопасным, сообщите нам в разделе комментариев о способах и средствах, которые мы можем сделать IoT-устройствами более безопасными и приятными. Вы даже можете устранить любые другие недостатки безопасности, с которыми вы недавно столкнулись в устройстве IoT.