Не секрет, что реализация механизмов безопасности IoT-устройств далека от совершенства. Известные категории уязвимостей умных устройств хорошо описаны в Top IoT Vulnerabilities от 2018 года. Предыдущая версия документа от 2014 года претерпела немало изменений: некоторые пункты исчезли совсем, другие были обновлены, появились и новые.
Чтобы показать актуальность этого списка, мы нашли примеры уязвимых IoT-устройств для каждого типа уязвимостей. Наша цель – продемонстрировать риски, с которыми пользователи умных устройств сталкиваются ежедневно.
Уязвимые устройства могут быть совершенно разными – от детских игрушек и сигнализаций до автомобилей и холодильников. Некоторые устройства встречаются в нашем списке не один раз. Все это, конечно же, служит показателем низкого уровня безопасности IoT-устройств вообще.
За подробностями следуйте под кат.
I1 Слабые, предсказуемые и жестко закодированные пароли
Использование уязвимых к брутфорсу, публично доступных (например, из инструкции) или неизменяемых паролей, включая бэкдоры в прошивке или клиентский софт, который дает возможность неавторизованного доступа к системе.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 |
Routers Netgear | CWE-601: URL Redirection to Untrusted Site ('Open Redirect') | Кто угодно из сети может воспользоваться путаницей в конфигурации, чтобы получить контроль над устройством, изменять настройки DNS и перенаправлять браузер на зараженные сайты. |
 |
Loxone Smart Home | CWE-261: Weak Encoding for Password | Злоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам. |
|
AGFEO smart home ES 5xx/6xx | CWE-261: Weak Encoding for Password | Злоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам. |
 |
Industrial wireless access point Moxa AP | CWE-260: Password in Configuration File | Злоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой. |
 |
Heatmiser Thermostat | CWE-260: Password in Configuration File | Злоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой. |
 |
Digital video recorder Mvpower | CWE-521: Weak Password Requirements | Учетная запись администратора не требует пароль при входе, поэтому доступ к ней может получить кто угодно. |
 |
DBPOWER U818A WIFI quadcopter drone | CWE-276: Incorrect Default Permissions | Злоумышленник может получить доступ к файловой системе, используя возможность анонимного доступа без пароля. |
|
Nuuo NVR (network video recorder) and Netgear | CWE-259: Use of Hard-coded Password | Злоумышленник может получить привилегии администратора, а значит, и полный контроль над системой из-за жестко закодированного пароля. |
 |
Vacuum Cleaner LG | CWE-287: Improper Authentication | Злоумышленник может обойти аутентификацию и получить доступ к видеозаписям с устройства. |
 |
Eminent EM6220 Camera | CWE-312: Cleartext Storage of Sensitive Information | В инструкции указан пароль 123456, который большинство пользователей установят не задумываясь и сделают свое устройство уязвимым. |
 |
LIXIL Satis Toilet | CWE-259: Use of Hard-coded Password | Пароль для подключения устройства по Bluetooth хранится в открытом виде в коде, что дает злоумышленнику возможность управлять работой умного унитаза по собственному желанию и против воли владельца. |
 |
FUEL Drill | CWE-259: Use of Hard-coded Password | Злоумышленник может найти жестко закодированный пароль и получить права администратора и управлять устройством. |
|
Billion Router 7700NR4 | CWE-798: Use of Hard-coded Credentials | Жестко закодированные учетные данные дают злоумышленнику возможность получить полный контроль над устройством. |
 |
Canon Printers | CWE-269: Improper Privilege Management & CWE-295: Improper Certificate Validation | Злоумышленник может получить доступ к незащищенному устройству и обновить прошивку, потому что логин и пароль не требуются для доступа к устройству. |
|
Parrot AR.Drone 2.0 | CWE-285: Improper Authorization | Пустая пара логин-пароль дает возможность злоумышленнику подключиться к дрону и управлять им. |
|
Camera Amazon Ring | CWE-285: Improper Authorization | Злоумышленник может использовать для авторизации учетные данные по умолчанию. |
I2 Небезопасные сетевые подключения
Избыточные или небезопасные подключения (особенно с доступом к Интернету) могут компрометировать конфиденциальность, целостность/аутентичность или доступность информации или предоставить возможность неавторизованного удаленного контроля над устройством.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 |
Smart Massager | CWE-284: Improper Access Control | Злоумышленник может изменить параметры массажера и причинить пользователю боль, вызвать ожог кожи и нанести вред здоровью. |
|
Implantable Cardiac Device | CWE-284: Improper Access Control | Злоумышленник может изменить настройки имплантируемого устройства, что может увеличить расход батареи и/или нанести вред здоровью. |
|
Hikvision Wi-Fi IP Camera | CWE-284: Improper Access Control | Злоумышленник может удаленно управлять камерой и даже отключить ее. |
|
Foscam C1 Indoor HD Cameras | CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') | Удаленное исполнение кода на камерах может привести к утечке чувствительной пользовательской информации. |
 |
Toy Furby | CWE-284: Improper Access Control | Злоумышленник может внести изменения в прошивку и использовать Ферби для слежки за детьми. |
|
Toy My Friend Cayla | CWE-284: Improper Access Control | Злоумышленник может следить за пользователями и собирать информацию о них. |
 |
iSmartAlarm | CWE-20: Improper Input Validation | Злоумышленник может "заморозить" будильник, и он перестанет будить. |
|
iSPY Camera Tank | CWE-284: Improper Access Control | Злоумышленник может залогиниться на устройстве как анонимный пользователь и заполучить контроль над файловой системой устройства. |
 |
DblTek GoIP | CWE-598: Information Exposure Through Query Strings in GET Request | Злоумышленник может отправить команды для изменения конфигурации или выключить устройство. |
|
Nuuo NVR (network video recorder) and Netgear | CWE-259: Use of Hard-coded Password | Злоумышленник может получить привилегии администратора, изменять настройки устройства и даже следить за пользователями. |
|
Sony IPELA Engine IP Cameras | CWE-287: Improper Authentication | Злоумышленник может использовать камеру для отправки фото и видео, добавить камеру в ботнет Mirai или следить за пользователями. |
|
iSmartAlarm | CWE-295: Improper Certificate Validation | Злоумышленник может получить пароль или другие пользовательские данные с помощью поддельного SSL-сертификата. |
|
Routers Dlink 850L | CWE-798: Use of Hard-coded Credentials | Из-за небезопасного сетевого подключения злоумышленник может получить полный контроль над устройством. |
 |
Amazon’s Ring Video Doorbell | CWE-419: Unprotected Primary Channel | Учетные данные для подключения к устройству передаются по незащищенному каналу связи. |
|
Cacagoo IP camera | CWE-287: Improper Authentication | Злоумышленник может воспользоваться возможностью неавторизованного доступа к устройству, а затем управлять им. |
|
Trifo Ironpie M6 Vacuum cleaner | CWE-284: Improper Access Control | Злоумышленник может удаленно подключиться к устройству и управлять им. |
I3 Небезопасные интерфейсы экосистем
Небезопасные бэкенд API, веб, облачные и мобильные интерфейсы в экосистеме вне устройства, через которые можно скомпрометировать устройство или связанные с ним компоненты. Среди распространенных проблем: отсутствие аутентификации/авторизации, отсутствующее или слабое шифрование, отсутствие фильтрации ввода/вывода.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
|
Industrial wireless access point Moxa AP | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может получить доступ к сессии, которая никогда не истечет. |
|
AXIS cameras | CWE-20: Improper Input Validation | Злоумышленник может изменить любой файл в системе, получив права администратора. |
|
Belkin’s smart home products | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') & CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | Злоумышленник может получить достук к телефону и чувствительной информации. |
|
Routers D-Link DIR-300 | CWE-352: Cross-Site Request Forgery (CSRF) | Злоумышленник может изменить пароль от учетной записи администратора и получить его привилегии. |
|
AVTECH IP Camera, NVR, DVR | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может изменять настройки устройства через атаку CSRF (например, пароли пользователей). |
|
AGFEO smart home ES 5xx/6xx | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может получить доступ ко всем файлам, хранящимся в системе. Он может изменить конфигурацию устройства и установить нелегитимное обновление. |
|
Loxone Smart Home | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Все функции устройства могут контролироваться злоумышленником через команды веб-интерфейса. |
 |
Switch TP-Link TL-SG108E | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может реализовать XSS-атаку на устройство и "заставить" администратора выполнить Javascript-код в браузере. |
|
Hanbanggaoke IP Camera | CWE-650: Trusting HTTP Permission Methods on the Server Side | Злоумышленник может изменить пароль администратора и получить его привилегии. |
|
iSmartAlarm | CWE-287: Improper Authentication | Злоумышленник может отправлять команды на устройство, включать и выключать его. |
 |
Western Digital My Cloud | CWE-287: Improper Authentication | Злоумышленник может получить полный контроль над устройством. |
 |
In-Flight Entertainment Systems | CWE-287: Improper Authentication | Злоумышленник может контролировать средства информирования пассажиров. Например, может подделать данные о полете (высота, скорость и пр.). |
 |
Smart key KeyWe | CWE-327: Use of a Broken or Risky Cryptographic Algorithm | Злоумышленник может узнать закрытый ключ, чтобы открыть дверь. |
I4 Отсутствие безопасного механизма обновлений
Отсутствие возможности безопасно обновить устройство. Включает в себя отсутствие валидации прошивки, отсутствие безопасной доставки обновлений на устройство (незашифрованная передача), отсутствие механизмов, запрещающих откат к старым версиям прошивки, отсутствие уведомлений об обновлениях, связанных с безопасностью.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
|
Devices by GeoVision | CWE-295: Improper Certificate Validation | Злоумышленник может обновить прошивку устройства без авторизации. |
|
Canon Printers | CWE-295: Improper Certificate Validation | Механизм аутентификации отсутствует: кто угодно может получить доступ к устройству и обновить/изменить прошивку. |
|
Smart Nest Thermostat | CWE-940: Improper Verification of Source of a Communication Channel | Прошивка доставляется на устройство по незащищенному протоколу передачи данных, и нет возможности проверить ее легитимность. |
I5 Использование небезопасных или устаревших компонентов
Использование недопустимых или небезопасных программных компонентов и/или библиотек, из-за которых устройство может быть скомпрометировано. Сюда относятся небезопасная кастомизация ОС и использование стороннего софта или железа, полученного через скомпрометированную цепочку поставок.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 |
Amazon Echo | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Control | Злоумышленник при помощи паяльника может изменить конфигурацию колонки, и превратить ее в устройство для прослушки. |
 |
Light bulb | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls | Злоумышленник может перепаять элементы лампы. |
I6 Недостаточная защита приватности
Персональные данные пользователей хранятся на устройстве или в экосистеме, которые используются небезопасным или ненадлежащим образом, или без соответствующих на то прав.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 |
Gator 2 smartwatch | CWE-359: Exposure of Private Information ('Privacy Violation') | Злоумышленник может получить доступ к информации о версии прошивки, IMEI, времени, методе определения локации (GPS/Wi-Fi), координатах и уровне заряда батареи. |
|
Routers D-Link DIR-600 and DIR-300 | CWE-200: Information Exposure | Злоумышленник может получить доступ к чувствительной информации об устройстве или сделать его частью ботнета. |
 |
Samsung Smart TV | CWE-200: Information Exposure | Злоумышленник может получить доступ к бинарным файлам или аудиозаписям, хранящимся в системе телевизора. |
|
Home security camera | CWE-359: Exposure of Private Information ('Privacy Violation') | Фотографии пользователя могут быть украдены злоумышленником и опубликованы в сети. |
 |
Smart sex toys We-Vibe | CWE-359: Exposure of Private Information ('Privacy Violation') | Злоумышленник может получить информацию о температуре устройства и интенсивности его вибрации. |
|
iBaby M6 baby monitor | CWE-359: Exposure of Private Information ('Privacy Violation') | Злоумышленник может просмотреть информацию, включая детали видеозаписи. |
I7 Небезопасная передача и хранение данных
Отсутствие шифрования или контроля доступа к чувствительной информации внутри экосистемы – при хранении, передаче или обработке.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
|
Owlet Wi-Fi baby heart monitor | CWE-201: Information Exposure Through Sent Data | Злоумышленник может следить за детьми и родителями через камеру. |
 |
Samsung fridge | CWE-300: Channel Accessible by Non-Endpoint ('Man-in-the-Middle') | Злоумышленник может заполучить учетные данные от Google-аккаунтов жертв. |
 |
Volkswagen car | CWE CATEGORY: Cryptographic Issues | Злоумышленник может получить удаленный доступ к управлению машиной. |
 |
HS-110 Smart Plug | CWE-201: Information Exposure Through Sent Data | Злоумышленник может контролировать работу вилки, например, выключить подсветку. |
|
Loxone Smart Home | CWE-201: Information Exposure Through Sent Data | Злоумышленник может контролировать каждое устройство, работающее в системе умного дома, и получить права доступа пользователя. |
|
Samsung Smart TV | CWE-200: Information Exposure | Злоумышленник может прослушивать беспроводную сеть и инициировать атаку брутфорсом, чтобы восстановить ключ и дешифровать трафик. |
|
Routers Dlink 850L | CWE-319: Cleartext Transmission of Sensitive Information | Злоумышленник может удаленно контролировать устройство. |
 |
Skaterboards Boosted, Revo, E-Go | CWE-300: Channel Accessible by Non-Endpoint ('Man-in-the-Middle') | Злоумышленник может отправлять различные команды, чтобы управлять скейтом. |
|
LIFX smart LED light bulbs | CWE-327: Use of a Broken or Risky Cryptographic Algorithm | Злоумышленник может перехватывать и дешифровать трафик, включая данные о конфигурации сети. |
|
Stuffed toys | CWE-521: Weak Password Requirements | Аудиозаписи пользователей хранятся так, что доступ к ним может получить злоумышленник. |
|
IoT Smart Deadbolt | CWE-922: Insecure Storage of Sensitive Information | Злоумышленник может получить доступ к чувствительной информации, хранящейся на устройстве. |
|
Router ASUS | CWE-200: Exposure of Sensitive Information to an Unauthorized Actor | Злоумышленник может получить доступ к чувствительной пользовательской информации. |
I8 Отсутствие возможности настройки устройства
Отсутствие поддержки безопасности устройств, выпущенных в производство, включая управление обновлениями, безопасное снятие с эксплуатации, системный мониторинг, средства реагирования.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
|
TP-LINK IP Surveillance Camera | CWE-? (не удалось подобрать CWE) | Злоумышленник может беспрепятственно эксплуатировать уязвимость в устройстве, так как оно устарело и не обновляется. |
I9 Небезопасные настройки по умолчанию
Устройства или системы, которые поставляются с небезопасными заводскими настройками или без возможности ограничить изменения конфигурации пользователями, чтобы повысить защищенность системы.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 |
ikettle Smarter Coffee machines | CWE-15: External Control of System or Configuration Setting | Злоумышленник может получить полный контроль над устройством из-за того, что большинство пользователей не настраивают кофемашины под себя, а оставляют их с заводскими небезопасными настройками. |
|
Parrot AR.Drone 2.0 | CWE-284: Improper Access Control | Настройки дрона предполагают возможность неавторизованного подключения к нему и управления им. |
|
HP Fax machine | CWE-276: Incorrect Default Permissions | Злоумышленник может воспользоваться неправильными настройками факса и полным отсутствием механизмов безопасности. |
|
Smart speakers | CWE-1068: Inconsistency Between Implementation and Documented Design | Колонки активируются словами, не указанными в инструкции, и прослушивают происходящие. |
I10 Отсутствие физической защиты
Отсутствие физической защиты позволяет потенциальному злоумышленнику получить доступ к чувствительной информации, которая может быть полезна при удаленной атаке или для получения контроля над устройством.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
|
Baby monitors Mi-Cam | CWE-284: Improper Access Control | Злоумышленник может следить за пользователями. |
|
TOTOLINK router | CWE-20: Improper Input Validation | Злоумышленник может внедрить бэкдор. |
|
Router TP-Link | CWE-284: Improper Access Control | Злоумышленник может получить привилегии администратора и сделать устройство частью ботнета через незащищенный UART. |
|
Smart Nest Thermostat | CWE-284: Improper Access Control | Злоумышленник может загрузить процессор через периферийное устройство по USB или UART. |
|
Blink XT2 Sync Module | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls | Незащищенный разъем позволяет злоумышленнику подключиться к устройству. |
|
Amazon Echo | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls | Злоумышленник при помощи паяльника может изменить конфигурацию колонки, превратив ее в устройство для прослушки. |
К сожалению, этот список можно продолжать бесконечно. На рынке появляется все больше IoT-устройств, а значит у злоумышленников появляются все новые возможности для достижения своих целей. Наша подборка уязвимых IoT-устройств не единственная, и мы предлагаем вам узнать о них больше: Safegadget, Exploitee и Awesome IoT Hacks
Как можно заметить, большинство уязвимостей относятся к одной из десяти категорий списка OWASP, а это значит, что создатели IoT-устройств не учатся на ошибках друг друга. Большинство уязвимостей связаны с безопасностью приложений. Некоторые из упомянутых устройств уже стали частью ботнетов, поскольку меры, принятые вендорами для повышения безопасности, оказались недостаточными.
Национальный институт стандартов и технологий США выпустил Межведомственный отчет о состоянии международной стандартизации кибербезопасности для Интернета вещей (IoT). В этом документе приведены стандарты безопасности программного обеспечения и рекомендации по повышению его защищенности. Кроме того, производителям IoT-устройств рекомендуется использовать программное обеспечение, способное предотвращать, обнаруживать и смягчать вредоносное воздействие на производимые устройства.
Перед покупкой IoT-устройства почитайте как можно больше отзывов, чтобы выбрать наиболее безопасное. И помните: нет здоровых, есть недообследованные. Поэтому другая наша рекомендация – по возможности повысить уровень безопасности ваших IoT-устройств самостоятельно, к примеру, установив сложный пароль в настройках. Или обратить внимание на популярный проект OpenWrt, который значительно повысил безопасность IoT-устройств, особенно тех, которые "позабыты" вендорами.
Мы в свою очередь предлагаем услугу исследования безопасности IoT и сетевых устройств. Она может быть востребована как производителями, так и покупателями больших партий таких устройств (например, камер охраны периметра).
nickneo
Странно, не увидел ни одного устройства от Xiaomi. Они что типа все безопасные или просто никто их не пробовал проверять на безопасность?
veneramuholovka Автор
Отличное замечание. Они не попали в подборку, но это не значит что они неуязвимы. Недавное у Xiaomi даже появилась багбаунти программа, а это значит что они обеспокоены безопасностью своих устройств.