Фирма безопасности тестирует 9 радионянь и находит, что 8 не проходят простые тесты безопасности, указывая, что производители подключенных устройств должны расти, мудрые безопасностью.У производителей подключенных устройств все еще есть большое выращивание, чтобы сделать когда дело доходит до безопасности.Потребительские устройства все более и более разрабатываются, чтобы быть подключенными к Интернету, но продолжать иметь дефекты базовой конструкции и уязвимости системы обеспечения безопасности, которые оставляют их открытыми для нападения. В тесте девяти радионянь, например, фирма безопасности Rapid7 нашел 10 серьезных уязвимостей, включая пять случаев поставщиков, уезжающих в закулисном доступе к устройствам.
Когда компания создала карту показателей дизайна безопасности устройств, только переданный заработанный единого устройства «D».Ни один из поставщиков не рекламировал их меры безопасности, или отсутствие этого и цена устройств, которые расположились приблизительно от 50$ до 250$, имели мало отношения к тому, как хорошо они выиграли, по словам Марка Станислава, главного консультанта по безопасности глобальных услуг в Rapid7.«Действительно трудно как потребитель, знать, безопасно ли то, что Вы подкупаете полку», сказал он. «К сожалению, статус-кво для Интернета вещей не является достаточно высоким запретом, с точки зрения безопасности».Подключенные устройства, также известные как Интернет вещей, все более и более предназначались исследователями в области безопасности и, как обычно находят, имеют значительные дефекты безопасности.
В феврале, отделение безопасности технологической фирмы, Hewlett-Packard нашел, что соединенные системы безопасности имели значительные уязвимости, которые могли оставить их пользователей из-за опасности того, чтобы быть взломанным. В прошлом году Symantec и Rapid7 выпустили подобное исследование, которое нашло дыры в системе безопасности во многих устройствах.В последнем исследовании Rapid7 проанализировал работы девяти различных детских устройств мониторинга от восьми различных поставщиков. Компания нашла значительные уязвимости, которые могли позволить атакующему доступу к камере или выполнить код по существующему устройству.
Обслуживание, поддерживающее одно устройство, использовало предсказуемые URL, которые атакующий мог легко изменить для получения доступа к информации других владельцев счетов. Дизайн способа получить доступ к видео в режиме реального времени привел к второй уязвимости, потому что поставщик поместил видео реального времени на размещенную службу в общедоступном Интернете. Третья уязвимость произошла в плохо реализованном обслуживании для совместного использования видео с родственниками и друзьями, приводящими к видеопотоку, являющемуся доступным для атакующих.Rapid7 выиграл устройства на том, было ли у них какое-либо из семи средств защиты, включая то, были ли локальная переменная устройств и интернет-коммуникации зашифрованы с Уровнем защищенных сокетов (SSL) и имело ли устройство любые потенциальные черные ходы, скрытые учетные записи или известные уязвимости.
Из 100 возможных точек результаты колебались от 0 до 50 для восьми устройств, которые не прошли тесты. Единое устройство, которое передало выигранный 64 из 100 точек.
«Счет является больше указанием относительно технических методов, решениями, которые были приняты в течение фазы проектирования или фазы реализации», сказал Станислав.