HimeraSearchDB
Carding_EbayThief
triada
CrackerTuch
BMIX
issn24

НОВОСТИ (Без)умные устройства: топ-10 уязвимостей IoT от OWASP

Alvaros
Онлайн

Alvaros

.
Регистрация
14.05.16
Сообщения
21.452
Реакции
101
Репутация
204
Не секрет, что реализация механизмов безопасности IoT-устройств далека от совершенства. Известные категории уязвимостей умных устройств хорошо описаны в
You must be registered for see links
от 2018 года. Предыдущая версия документа от 2014 года претерпела немало изменений: некоторые пункты исчезли совсем, другие были обновлены, появились и новые.


Чтобы показать актуальность этого списка, мы нашли примеры уязвимых IoT-устройств для каждого типа уязвимостей. Наша цель – продемонстрировать риски, с которыми пользователи умных устройств сталкиваются ежедневно.


Уязвимые устройства могут быть совершенно разными – от детских игрушек и сигнализаций до автомобилей и холодильников. Некоторые устройства встречаются в нашем списке не один раз. Все это, конечно же, служит показателем низкого уровня безопасности IoT-устройств вообще.


hqwo5ley71msv9_oqxytthyec2i.png



За подробностями следуйте под кат.


I1 Слабые, предсказуемые и жестко закодированные пароли



Использование уязвимых к брутфорсу, публично доступных (например, из инструкции) или неизменяемых паролей, включая бэкдоры в прошивке или клиентский софт, который дает возможность неавторизованного доступа к системе.

Тип устройстваНазваниеCWEНедостаток безопасности

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-601: URL Redirection to Untrusted Site ('Open Redirect')

Кто угодно из сети может воспользоваться путаницей в конфигурации, чтобы получить контроль над устройством, изменять настройки DNS и перенаправлять браузер на зараженные сайты.

4kvmsosfmjmk5dao6orhnmuwe1u.png


You must be registered for see links


CWE-261: Weak Encoding for Password

Злоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам.

4kvmsosfmjmk5dao6orhnmuwe1u.png


You must be registered for see links


CWE-261: Weak Encoding for Password

Злоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам.

xwh_uuxbsnadafry81n-xymbmy4.png


You must be registered for see links


CWE-260: Password in Configuration File

Злоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой.

j1wqhv0yivrwmz-srgoch789lue.png


You must be registered for see links


CWE-260: Password in Configuration File

Злоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой.

b5kjtmmvyrnutl525shv7wuqr_k.png


You must be registered for see links


CWE-521: Weak Password Requirements

Учетная запись администратора не требует пароль при входе, поэтому доступ к ней может получить кто угодно.

8piodq5fdq719ywjn5qh7rpgfli.png


You must be registered for see links


CWE-276: Incorrect Default Permissions

Злоумышленник может получить доступ к файловой системе, используя возможность анонимного доступа без пароля.

b5kjtmmvyrnutl525shv7wuqr_k.png


You must be registered for see links


CWE-259: Use of Hard-coded Password

Злоумышленник может получить привилегии администратора, а значит, и полный контроль над системой из-за жестко закодированного пароля.

06bxdao9ffoolxrkk6hjoshsu64.png


You must be registered for see links


CWE-287: Improper Authentication

Злоумышленник может обойти аутентификацию и получить доступ к видеозаписям с устройства.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-312: Cleartext Storage of Sensitive Information

В инструкции указан пароль 123456, который большинство пользователей установят не задумываясь и сделают свое устройство уязвимым.

tblukzbhwvbq6wmyeyfstepl3jg.png


You must be registered for see links


CWE-259: Use of Hard-coded Password

Пароль для подключения устройства по Bluetooth хранится в открытом виде в коде, что дает злоумышленнику возможность управлять работой умного унитаза по собственному желанию и против воли владельца.

0s3zwvgd0kagrheifdcsldvsnuu.png


You must be registered for see links


CWE-259: Use of Hard-coded Password

Злоумышленник может найти жестко закодированный пароль и получить права администратора и управлять устройством.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-798: Use of Hard-coded Credentials

Жестко закодированные учетные данные дают злоумышленнику возможность получить полный контроль над устройством.

r91igq_nzxqozjvcpicz7vt0p8a.png


You must be registered for see links


CWE-269: Improper Privilege Management & CWE-295: Improper Certificate Validation

Злоумышленник может получить доступ к незащищенному устройству и обновить прошивку, потому что логин и пароль не требуются для доступа к устройству.

8piodq5fdq719ywjn5qh7rpgfli.png


You must be registered for see links


CWE-285: Improper Authorization

Пустая пара логин-пароль дает возможность злоумышленнику подключиться к дрону и управлять им.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-285: Improper Authorization

Злоумышленник может использовать для авторизации учетные данные по умолчанию.

I2 Небезопасные сетевые подключения



Избыточные или небезопасные подключения (особенно с доступом к Интернету) могут компрометировать конфиденциальность, целостность/аутентичность или доступность информации или предоставить возможность неавторизованного удаленного контроля над устройством.

Тип устройстваНазваниеCWEНедостаток безопасности

adu3wvbnnfgrgfkfqkit4n1pefi.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может изменить параметры массажера и причинить пользователю боль, вызвать ожог кожи и нанести вред здоровью.

adu3wvbnnfgrgfkfqkit4n1pefi.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может изменить настройки имплантируемого устройства, что может увеличить расход батареи и/или нанести вред здоровью.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может удаленно управлять камерой и даже отключить ее.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

Удаленное исполнение кода на камерах может привести к утечке чувствительной пользовательской информации.

xu4q7blfbhzxx0glqy8nja0cwn0.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может внести изменения в прошивку и использовать Ферби для слежки за детьми.

xu4q7blfbhzxx0glqy8nja0cwn0.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может следить за пользователями и собирать информацию о них.

7by-0m7t2tutudma7fkia5s0hdy.png


You must be registered for see links


CWE-20: Improper Input Validation

Злоумышленник может "заморозить" будильник, и он перестанет будить.

xu4q7blfbhzxx0glqy8nja0cwn0.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может залогиниться на устройстве как анонимный пользователь и заполучить контроль над файловой системой устройства.

9j31i6dnyeoytb7snziatxw-mh0.png


You must be registered for see links


CWE-598: Information Exposure Through Query Strings in GET Request

Злоумышленник может отправить команды для изменения конфигурации или выключить устройство.

b5kjtmmvyrnutl525shv7wuqr_k.png


You must be registered for see links


CWE-259: Use of Hard-coded Password

Злоумышленник может получить привилегии администратора, изменять настройки устройства и даже следить за пользователями.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-287: Improper Authentication

Злоумышленник может использовать камеру для отправки фото и видео, добавить камеру в ботнет
You must be registered for see links
или следить за пользователями.

7by-0m7t2tutudma7fkia5s0hdy.png


You must be registered for see links


CWE-295: Improper Certificate Validation

Злоумышленник может получить пароль или другие пользовательские данные с помощью поддельного SSL-сертификата.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-798: Use of Hard-coded Credentials

Из-за небезопасного сетевого подключения злоумышленник может получить полный контроль над устройством.

xxyve02tpbvdz_gl327lipqgfdi.png


You must be registered for see links


CWE-419: Unprotected Primary Channel

Учетные данные для подключения к устройству передаются по незащищенному каналу связи.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-287: Improper Authentication

Злоумышленник может воспользоваться возможностью неавторизованного доступа к устройству, а затем управлять им.

06bxdao9ffoolxrkk6hjoshsu64.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может удаленно подключиться к устройству и управлять им.

I3 Небезопасные интерфейсы экосистем



Небезопасные бэкенд API, веб, облачные и мобильные интерфейсы в экосистеме вне устройства, через которые можно скомпрометировать устройство или связанные с ним компоненты. Среди распространенных проблем: отсутствие аутентификации/авторизации, отсутствующее или слабое шифрование, отсутствие фильтрации ввода/вывода.

Тип устройстваНазваниеCWEНедостаток безопасности

xwh_uuxbsnadafry81n-xymbmy4.png


You must be registered for see links


CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Злоумышленник может получить доступ к сессии, которая никогда не истечет.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-20: Improper Input Validation

Злоумышленник может изменить любой файл в системе, получив права администратора.

4kvmsosfmjmk5dao6orhnmuwe1u.png


You must be registered for see links


CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') & CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

Злоумышленник может получить достук к телефону и чувствительной информации.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-352: Cross-Site Request Forgery (CSRF)

Злоумышленник может изменить пароль от учетной записи администратора и получить его привилегии.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Злоумышленник может изменять настройки устройства через атаку CSRF (например, пароли пользователей).

4kvmsosfmjmk5dao6orhnmuwe1u.png


You must be registered for see links


CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Злоумышленник может получить доступ ко всем файлам, хранящимся в системе. Он может изменить конфигурацию устройства и установить нелегитимное обновление.

4kvmsosfmjmk5dao6orhnmuwe1u.png


You must be registered for see links


CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Все функции устройства могут контролироваться злоумышленником через команды веб-интерфейса.

_vuq6ppdqy9zgug7oy1san9gfbm.png


You must be registered for see links


CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Злоумышленник может реализовать XSS-атаку на устройство и "заставить" администратора выполнить Javascript-код в браузере.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-650: Trusting HTTP Permission Methods on the Server Side

Злоумышленник может изменить пароль администратора и получить его привилегии.

7by-0m7t2tutudma7fkia5s0hdy.png


You must be registered for see links


CWE-287: Improper Authentication

Злоумышленник может отправлять команды на устройство, включать и выключать его.

q54rvt9t4l_zoops33t4xyaz-ja.png


You must be registered for see links


CWE-287: Improper Authentication

Злоумышленник может получить полный контроль над устройством.

xjawdwksku5684vrclviiesqesk.png


You must be registered for see links


CWE-287: Improper Authentication

Злоумышленник может контролировать средства информирования пассажиров. Например, может подделать данные о полете (высота, скорость и пр.).

ck2ef7wv6pjapkwnougjlhfu7ba.png


You must be registered for see links


CWE-327: Use of a Broken or Risky Cryptographic Algorithm

Злоумышленник может узнать закрытый ключ, чтобы открыть дверь.

I4 Отсутствие безопасного механизма обновлений



Отсутствие возможности безопасно обновить устройство. Включает в себя отсутствие валидации прошивки, отсутствие безопасной доставки обновлений на устройство (незашифрованная передача), отсутствие механизмов, запрещающих откат к старым версиям прошивки, отсутствие уведомлений об обновлениях, связанных с безопасностью.

Тип устройстваНазваниеCWEНедостаток безопасности

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-295: Improper Certificate Validation

Злоумышленник может обновить прошивку устройства без авторизации.

r91igq_nzxqozjvcpicz7vt0p8a.png


You must be registered for see links


CWE-295: Improper Certificate Validation

Механизм аутентификации отсутствует: кто угодно может получить доступ к устройству и обновить/изменить прошивку.

j1wqhv0yivrwmz-srgoch789lue.png


You must be registered for see links


CWE-940: Improper Verification of Source of a Communication Channel

Прошивка доставляется на устройство по незащищенному протоколу передачи данных, и нет возможности проверить ее легитимность.

I5 Использование небезопасных или устаревших компонентов



Использование недопустимых или небезопасных программных компонентов и/или библиотек, из-за которых устройство может быть скомпрометировано. Сюда относятся небезопасная кастомизация ОС и использование стороннего софта или железа, полученного через скомпрометированную цепочку поставок.

Тип устройстваНазваниеCWEНедостаток безопасности

scga9hwaxnu1yydk4q6ditwehv8.png


You must be registered for see links


CWE-1233: Improper Hardware Lock Protection for Security Sensitive Control

Злоумышленник при помощи паяльника может изменить конфигурацию колонки, и превратить ее в устройство для прослушки.

vmd_ezpul_kggfu-lhten2feuji.png


You must be registered for see links


CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls

Злоумышленник может перепаять элементы лампы.

I6 Недостаточная защита приватности



Персональные данные пользователей хранятся на устройстве или в экосистеме, которые используются небезопасным или ненадлежащим образом, или без соответствующих на то прав.

Тип устройстваНазваниеCWEНедостаток безопасности

ed14jyb1cqfm8a1elv_zp45_42q.png


You must be registered for see links


CWE-359: Exposure of Private Information ('Privacy Violation')

Злоумышленник может получить доступ к информации о версии прошивки, IMEI, времени, методе определения локации (GPS/Wi-Fi), координатах и уровне заряда батареи.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-200: Information Exposure

Злоумышленник может получить доступ к чувствительной информации об устройстве или сделать его частью ботнета.

qxn7egx9ebfzvkgme0rnoccbf9s.png


You must be registered for see links


CWE-200: Information Exposure

Злоумышленник может получить доступ к бинарным файлам или аудиозаписям, хранящимся в системе телевизора.

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-359: Exposure of Private Information ('Privacy Violation')

Фотографии пользователя могут быть украдены злоумышленником и опубликованы в сети.

q_e5wnodmr-8asuvs5esbssqfku.png


You must be registered for see links


CWE-359: Exposure of Private Information ('Privacy Violation')

Злоумышленник может получить информацию о температуре устройства и интенсивности его вибрации.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-359: Exposure of Private Information ('Privacy Violation')

Злоумышленник может просмотреть информацию, включая детали видеозаписи.

I7 Небезопасная передача и хранение данных



Отсутствие шифрования или контроля доступа к чувствительной информации внутри экосистемы – при хранении, передаче или обработке.

Тип устройстваНазваниеCWEНедостаток безопасности

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-201: Information Exposure Through Sent Data

Злоумышленник может следить за детьми и родителями через камеру.

ia5o0c1dxybtywfeimtqifc_spg.png


You must be registered for see links


CWE-300: Channel Accessible by Non-Endpoint ('Man-in-the-Middle')

Злоумышленник может заполучить учетные данные от Google-аккаунтов жертв.

rb2ljvgfvda2e7bwflswe_iofj8.png


You must be registered for see links


CWE CATEGORY: Cryptographic Issues

Злоумышленник может получить удаленный доступ к управлению машиной.

scvb6v9huzfaphgentopu4oi9ym.png


You must be registered for see links


CWE-201: Information Exposure Through Sent Data

Злоумышленник может контролировать работу вилки, например, выключить подсветку.

4kvmsosfmjmk5dao6orhnmuwe1u.png


You must be registered for see links


CWE-201: Information Exposure Through Sent Data

Злоумышленник может контролировать каждое устройство, работающее в системе умного дома, и получить права доступа пользователя.

qxn7egx9ebfzvkgme0rnoccbf9s.png


You must be registered for see links


CWE-200: Information Exposure

Злоумышленник может прослушивать беспроводную сеть и инициировать атаку брутфорсом, чтобы восстановить ключ и дешифровать трафик.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-319: Cleartext Transmission of Sensitive Information

Злоумышленник может удаленно контролировать устройство.

junj2n_ewa8dgl-ph4zigbnwcyq.png


You must be registered for see links


CWE-300: Channel Accessible by Non-Endpoint ('Man-in-the-Middle')

Злоумышленник может отправлять различные команды, чтобы управлять скейтом.

vmd_ezpul_kggfu-lhten2feuji.png


You must be registered for see links


CWE-327: Use of a Broken or Risky Cryptographic Algorithm

Злоумышленник может перехватывать и дешифровать трафик, включая данные о конфигурации сети.

xu4q7blfbhzxx0glqy8nja0cwn0.png


You must be registered for see links


CWE-521: Weak Password Requirements

Аудиозаписи пользователей хранятся так, что доступ к ним может получить злоумышленник.

ck2ef7wv6pjapkwnougjlhfu7ba.png


You must be registered for see links


CWE-922: Insecure Storage of Sensitive Information

Злоумышленник может получить доступ к чувствительной информации, хранящейся на устройстве.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

Злоумышленник может получить доступ к чувствительной пользовательской информации.

I8 Отсутствие возможности настройки устройства



Отсутствие поддержки безопасности устройств, выпущенных в производство, включая управление обновлениями, безопасное снятие с эксплуатации, системный мониторинг, средства реагирования.

Тип устройстваНазваниеCWEНедостаток безопасности

i2xoupghlh1mztu_0iwqyoosbla.png


You must be registered for see links


CWE-? (не удалось подобрать CWE)

Злоумышленник может беспрепятственно эксплуатировать уязвимость в устройстве, так как оно устарело и не обновляется.

I9 Небезопасные настройки по умолчанию



Устройства или системы, которые поставляются с небезопасными заводскими настройками или без возможности ограничить изменения конфигурации пользователями, чтобы повысить защищенность системы.

Тип устройстваНазваниеCWEНедостаток безопасности

24doecbat61fpb1sgs0mgot5onq.png


You must be registered for see links


CWE-15: External Control of System or Configuration Setting

Злоумышленник может получить полный контроль над устройством из-за того, что большинство пользователей не настраивают кофемашины под себя, а оставляют их с заводскими небезопасными настройками.

8piodq5fdq719ywjn5qh7rpgfli.png


You must be registered for see links


CWE-284: Improper Access Control

Настройки дрона предполагают возможность неавторизованного подключения к нему и управления им.

r91igq_nzxqozjvcpicz7vt0p8a.png


You must be registered for see links


CWE-276: Incorrect Default Permissions

Злоумышленник может воспользоваться неправильными настройками факса и полным отсутствием механизмов безопасности.

scga9hwaxnu1yydk4q6ditwehv8.png


You must be registered for see links


CWE-1068: Inconsistency Between Implementation and Documented Design

Колонки активируются словами, не указанными в инструкции, и прослушивают происходящие.

I10 Отсутствие физической защиты



Отсутствие физической защиты позволяет потенциальному злоумышленнику получить доступ к чувствительной информации, которая может быть полезна при удаленной атаке или для получения контроля над устройством.

Тип устройстваНазваниеCWEНедостаток безопасности

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может следить за пользователями.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-20: Improper Input Validation

Злоумышленник может внедрить бэкдор.

8cl-4zorrj40nbcwxtlyd8xwpfe.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может получить привилегии администратора и сделать устройство частью ботнета через незащищенный UART.

j1wqhv0yivrwmz-srgoch789lue.png


You must be registered for see links


CWE-284: Improper Access Control

Злоумышленник может загрузить процессор через периферийное устройство по USB или UART.

4kvmsosfmjmk5dao6orhnmuwe1u.png


You must be registered for see links


CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls

Незащищенный разъем позволяет злоумышленнику подключиться к устройству.

scga9hwaxnu1yydk4q6ditwehv8.png


You must be registered for see links


CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls

Злоумышленник при помощи паяльника может изменить конфигурацию колонки, превратив ее в устройство для прослушки.


К сожалению, этот список можно продолжать бесконечно. На рынке появляется все больше IoT-устройств, а значит у злоумышленников появляются все новые возможности для достижения своих целей. Наша подборка уязвимых IoT-устройств не единственная, и мы предлагаем вам узнать о них больше:
You must be registered for see links
,
You must be registered for see links
и
You must be registered for see links



Как можно заметить, большинство уязвимостей относятся к одной из десяти категорий списка OWASP, а это значит, что создатели IoT-устройств не учатся на ошибках друг друга. Большинство уязвимостей связаны с безопасностью приложений. Некоторые из упомянутых устройств уже стали частью ботнетов, поскольку меры, принятые вендорами для повышения безопасности, оказались недостаточными.


Национальный институт стандартов и технологий США выпустил
You must be registered for see links
. В этом документе приведены стандарты безопасности программного обеспечения и рекомендации по повышению его защищенности. Кроме того, производителям IoT-устройств рекомендуется использовать программное обеспечение, способное предотвращать, обнаруживать и смягчать вредоносное воздействие на производимые устройства.


Перед покупкой IoT-устройства почитайте как можно больше отзывов, чтобы выбрать наиболее безопасное. И помните: нет здоровых, есть недообследованные. Поэтому другая наша рекомендация – по возможности повысить уровень безопасности ваших IoT-устройств самостоятельно, к примеру, установив сложный пароль в настройках. Или обратить внимание на популярный проект
You must be registered for see links
, который значительно повысил безопасность IoT-устройств, особенно тех, которые "позабыты" вендорами.


Мы в свою очередь предлагаем
You must be registered for see links
. Она может быть востребована как производителями, так и покупателями больших партий таких устройств (например, камер охраны периметра).


You must be registered for see links
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу