Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

(Без)умные устройства: топ-10 уязвимостей IoT от OWASP

06.07.2020 /
Прочитать позже

    Отправим материал на:

    (Без)умные устройства: топ-10 уязвимостей IoT от OWASP

    Не секрет, что реализация механизмов безопасности IoT-устройств далека от совершенства. Известные категории уязвимостей умных устройств хорошо описаны в Top IoT Vulnerabilities от 2018 года. Предыдущая версия документа от 2014 года претерпела немало изменений: некоторые пункты исчезли совсем, другие были обновлены, появились и новые.

    Чтобы показать актуальность этого списка на сегодняшний день, мы нашли примеры уязвимых IoT-устройств для каждого типа уязвимостей. Наша цель – продемонстрировать риски, с которыми пользователи умных устройств сталкиваются ежедневно.

    Уязвимые устройства могут быть совершенно разными – от детских игрушек до сигнализаций, холодильников и автомобилей. Некоторые устройства встречаются в нашем списке не один раз.

    I1 Слабые, предсказуемые и жестко закодированные пароли

    Использование уязвимых к брутфорсу, публично доступных (например, из инструкции) или неизменяемых паролей, включая бэкдоры в прошивке или клиентский софт, который дает возможность неавторизованного доступа к системе.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Routers NetgearCWE-601: URL Redirection to Untrusted Site (‘Open Redirect’)Кто угодно из сети может воспользоваться путаницей в конфигурации, чтобы получить контроль над устройством, изменять настройки DNS и перенаправлять браузер на зараженные сайты.
    Loxone Smart HomeCWE-261: Weak Encoding for PasswordЗлоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам.
    AGFEO smart home ES 5xx/6xxCWE-261: Weak Encoding for PasswordЗлоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам.
    Industrial wireless access point Moxa APCWE-260: Password in Configuration FileЗлоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой.
    Heatmiser ThermostatCWE-260: Password in Configuration FileЗлоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой.
    Digital video recorder MvpowerCWE-521: Weak Password RequirementsУчетная запись администратора не требует пароль при входе, поэтому доступ к ней может получить кто угодно.
    DBPOWER U818A WIFI quadcopter droneCWE-276: Incorrect Default PermissionsЗлоумышленник может получить доступ к файловой системе, используя возможность анонимного доступа без пароля.
    Nuuo NVR (network video recorder) and NetgearCWE-259: Use of Hard-coded PasswordЗлоумышленник может получить привилегии администратора, а значит, и полный контроль над системой из-за жестко закодированного пароля.
    Vacuum Cleaner LGCWE-287: Improper AuthenticationЗлоумышленник может обойти аутентификацию и получить доступ к видеозаписям с устройства.
    Eminent EM6220 CameraCWE-312: Cleartext Storage of Sensitive InformationВ инструкции указан пароль 123456, который большинство пользователей установят не задумываясь и сделают свое устройство уязвимым.
    LIXIL Satis ToiletCWE-259: Use of Hard-coded PasswordПароль для подключения устройства по Bluetooth хранится в открытом виде в коде, что дает злоумышленнику возможность управлять работой умного унитаза по собственному желанию и против воли владельца.
    FUEL DrillCWE-259: Use of Hard-coded PasswordЗлоумышленник может найти жестко закодированный пароль и получить права администратора и управлять устройством.
    Billion Router 7700NR4CWE-798: Use of Hard-coded CredentialsЖестко закодированные учетные данные дают злоумышленнику возможность получить полный контроль над устройством.
    Canon PrintersCWE-269: Improper Privilege Management & CWE-295: Improper Certificate ValidationЗлоумышленник может получить доступ к незащищенному устройству и обновить прошивку, потому что логин и пароль не требуются для доступа к устройству.
    Parrot AR.Drone 2.0CWE-285: Improper AuthorizationПустая пара логин-пароль дает возможность злоумышленнику подключиться к дрону и управлять им.
    Camera Amazon RingCWE-285: Improper AuthorizationЗлоумышленник может использовать для авторизации учетные данные по умолчанию.
    Продолжение таблицы

    I2 Небезопасные сетевые подключения

    Избыточные или небезопасные подключения (особенно с доступом к Интернету) могут компрометировать конфиденциальность, целостность/аутентичность или доступность информации или предоставить возможность неавторизованного удаленного контроля над устройством.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Smart MassagerCWE-284: Improper Access ControlЗлоумышленник может изменить параметры массажера и причинить пользователю боль, вызвать ожог кожи и нанести вред здоровью.
    Implantable Cardiac DeviceCWE-284: Improper Access ControlЗлоумышленник может изменить настройки имплантируемого устройства, что может увеличить расход батареи и/или нанести вред здоровью.
    Hikvision Wi-Fi IP CameraCWE-284: Improper Access ControlЗлоумышленник может удаленно управлять камерой и даже отключить ее.
    Foscam C1 Indoor HD CamerasCWE-120: Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)Удаленное исполнение кода на камерах может привести к утечке чувствительной пользовательской информации.
    Toy FurbyCWE-284: Improper Access ControlЗлоумышленник может внести изменения в прошивку и использовать Ферби для слежки за детьми.
    Toy My Friend CaylaCWE-284: Improper Access ControlЗлоумышленник может следить за пользователями и собирать информацию о них.
    iSmartAlarmCWE-20: Improper Input ValidationЗлоумышленник может «заморозить» будильник, и он перестанет будить.
    iSPY Camera TankCWE-284: Improper Access ControlЗлоумышленник может залогиниться на устройстве как анонимный пользователь и заполучить контроль над файловой системой устройства.
    DblTek GoIPCWE-598: Information Exposure Through Query Strings in GET RequestЗлоумышленник может отправить команды для изменения конфигурации или выключить устройство.
    Nuuo NVR (network video recorder) and NetgearCWE-259: Use of Hard-coded PasswordЗлоумышленник может получить привилегии администратора, изменять настройки устройства и даже следить за пользователями.
    Sony IPELA Engine IP CamerasCWE-287: Improper AuthenticationЗлоумышленник может использовать камеру для отправки фото и видео, добавить камеру в ботнет Mirai) или следить за пользователями.
    iSmartAlarmCWE-295: Improper Certificate ValidationЗлоумышленник может получить пароль или другие пользовательские данные с помощью поддельного SSL-сертификата.
    Routers Dlink 850LCWE-798: Use of Hard-coded CredentialsИз-за небезопасного сетевого подключения злоумышленник может получить полный контроль над устройством.
    Amazon’s Ring Video DoorbellCWE-419: Unprotected Primary ChannelУчетные данные для подключения к устройству передаются по незащищенному каналу связи.
    Cacagoo IP cameraCWE-287: Improper AuthenticationЗлоумышленник может воспользоваться возможностью неавторизованного доступа к устройству, а затем управлять им.
    Trifo Ironpie M6 Vacuum cleanerCWE-284: Improper Access ControlЗлоумышленник может удаленно подключиться к устройству и управлять им.
    Продолжение таблицы

    I3 Небезопасные интерфейсы экосистем

    Небезопасные бэкенд API, веб, облачные и мобильные интерфейсы в экосистеме вне устройства, через которые можно скомпрометировать устройство или связанные с ним компоненты. Среди распространенных проблем: отсутствие аутентификации/авторизации, отсутствующее или слабое шифрование, отсутствие фильтрации ввода/вывода.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Industrial wireless access point Moxa APCWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)Злоумышленник может получить доступ к сессии, которая никогда не истечет.
    AXIS camerasCWE-20: Improper Input ValidationЗлоумышленник может изменить любой файл в системе, получив права администратора.
    Belkin’s smart home productsCWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) & CWE-89: Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)Злоумышленник может получить достук к телефону и чувствительной информации.
    Routers D-Link DIR-300CWE-352: Cross-Site Request Forgery (CSRF)Злоумышленник может изменить пароль от учетной записи администратора и получить его привилегии.
    AVTECH IP Camera, NVR, DVRCWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)Злоумышленник может изменять настройки устройства через атаку CSRF (например, пароли пользователей).
    AGFEO smart home ES 5xx/6xxCWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)Злоумышленник может получить доступ ко всем файлам, хранящимся в системе. Он может изменить конфигурацию устройства и установить нелегитимное обновление.
    Loxone Smart HomeCWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)Все функции устройства могут контролироваться злоумышленником через команды веб-интерфейса.
    Switch TP-Link TL-SG108ECWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)Злоумышленник может реализовать XSS-атаку на устройство и «заставить» администратора выполнить Javascript-код в браузере.
    Hanbanggaoke IP CameraCWE-650: Trusting HTTP Permission Methods on the Server SideЗлоумышленник может изменить пароль администратора и получить его привилегии.
    iSmartAlarmCWE-287: Improper AuthenticationЗлоумышленник может отправлять команды на устройство, включать и выключать его.
    Western Digital My CloudCWE-287: Improper AuthenticationЗлоумышленник может получить полный контроль над устройством.
    In-Flight Entertainment SystemsCWE-287: Improper AuthenticationЗлоумышленник может контролировать средства информирования пассажиров. Например, может подделать данные о полете (высота, скорость и пр.).
    Smart key KeyWeCWE-327: Use of a Broken or Risky Cryptographic AlgorithmЗлоумышленник может узнать закрытый ключ, чтобы открыть дверь.
    Продолжение таблицы

    I4 Отсутствие безопасного механизма обновлений

    Отсутствие возможности безопасно обновить устройство. Включает в себя отсутствие валидации прошивки, отсутствие безопасной доставки обновлений на устройство (незашифрованная передача), отсутствие механизмов, запрещающих откат к старым версиям прошивки, отсутствие уведомлений об обновлениях, связанных с безопасностью.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Devices by GeoVisionCWE-295: Improper Certificate ValidationЗлоумышленник может обновить прошивку устройства без авторизации.
    Canon PrintersCWE-295: Improper Certificate ValidationМеханизм аутентификации отсутствует: кто угодно может получить доступ к устройству и обновить/изменить прошивку.
    Smart Nest ThermostatCWE-940: Improper Verification of Source of a Communication ChannelПрошивка доставляется на устройство по незащищенному протоколу передачи данных, и нет возможности проверить ее легитимность.
    Продолжение таблицы

    I5 Использование небезопасных или устаревших компонентов

    Использование недопустимых или небезопасных программных компонентов и/или библиотек, из-за которых устройство может быть скомпрометировано. Сюда относятся небезопасная кастомизация ОС и использование стороннего софта или железа, полученного через скомпрометированную цепочку поставок.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Amazon EchoCWE-1233: Improper Hardware Lock Protection for Security Sensitive ControlЗлоумышленник при помощи паяльника может изменить конфигурацию колонки, и превратить ее в устройство для прослушки.
    Light bulbCWE-1233: Improper Hardware Lock Protection for Security Sensitive ControlsЗлоумышленник может перепаять элементы лампы.
    Продолжение таблицы

    I6 Недостаточная защита приватности

    Персональные данные пользователей хранятся на устройстве или в экосистеме, которые используются небезопасным или ненадлежащим образом, или без соответствующих на то прав.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Gator 2 smartwatchCWE-359: Exposure of Private Information (‘Privacy Violation’)Злоумышленник может получить доступ к информации о версии прошивки, IMEI, времени, методе определения локации (GPS/Wi-Fi), координатах и уровне заряда батареи.
    Routers D-Link DIR-600 and DIR-300CWE-200: Information ExposureЗлоумышленник может получить доступ к чувствительной информации об устройстве или сделать его частью ботнета.
    Samsung Smart TVCWE-200: Information ExposureЗлоумышленник может получить доступ к бинарным файлам или аудиозаписям, хранящимся в системе телевизора.
    Home security cameraCWE-359: Exposure of Private Information (‘Privacy Violation’)Фотографии пользователя могут быть украдены злоумышленником и опубликованы в сети.
    Smart sex toys We-VibeCWE-359: Exposure of Private Information (‘Privacy Violation’)Злоумышленник может получить информацию о температуре устройства и интенсивности его вибрации.
    iBaby M6 baby monitorCWE-359: Exposure of Private Information (‘Privacy Violation’)Злоумышленник может просмотреть информацию, включая детали видеозаписи.
    Продолжение таблицы

    I7 Небезопасная передача и хранение данных

    Отсутствие шифрования или контроля доступа к чувствительной информации внутри экосистемы – при хранении, передаче или обработке.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Owlet Wi-Fi baby heart monitorCWE-201: Information Exposure Through Sent DataЗлоумышленник может следить за детьми и родителями через камеру.
    Samsung fridgeCWE-300: Channel Accessible by Non-Endpoint (‘Man-in-the-Middle’)Злоумышленник может заполучить учетные данные от Google-аккаунтов жертв.
    Volkswagen carCWE CATEGORY: Cryptographic IssuesЗлоумышленник может получить удаленный доступ к управлению машиной.
    HS-110 Smart PlugCWE-201: Information Exposure Through Sent DataЗлоумышленник может контролировать работу вилки, например, выключить подсветку.
    Loxone Smart HomeCWE-201: Information Exposure Through Sent DataЗлоумышленник может контролировать каждое устройство, работающее в системе умного дома, и получить права доступа пользователя.
    Samsung Smart TVCWE-200: Information ExposureЗлоумышленник может прослушивать беспроводную сеть и инициировать атаку брутфорсом, чтобы восстановить ключ и дешифровать трафик.
    Routers Dlink 850LCWE-319: Cleartext Transmission of Sensitive InformationЗлоумышленник может удаленно контролировать устройство.
    Skaterboards Boosted, Revo, E-GoCWE-300: Channel Accessible by Non-Endpoint (‘Man-in-the-Middle’)Злоумышленник может отправлять различные команды, чтобы управлять скейтом.
    LIFX smart LED light bulbsCWE-327: Use of a Broken or Risky Cryptographic AlgorithmЗлоумышленник может перехватывать и дешифровать трафик, включая данные о конфигурации сети.
    Stuffed toysCWE-521: Weak Password RequirementsАудиозаписи пользователей хранятся так, что доступ к ним может получить злоумышленник.
    IoT Smart DeadboltCWE-922: Insecure Storage of Sensitive InformationЗлоумышленник может получить доступ к чувствительной информации, хранящейся на устройстве.
    Router ASUSCWE-200: Exposure of Sensitive Information to an Unauthorized ActorЗлоумышленник может получить доступ к чувствительной пользовательской информации.
    Продолжение таблицы

    I8 Отсутствие возможности настройки устройства

    Отсутствие поддержки безопасности устройств, выпущенных в производство, включая управление обновлениями, безопасное снятие с эксплуатации, системный мониторинг, средства реагирования.

    Тип устройстваНазваниеCWEНедостаток безопасности
    TP-LINK IP Surveillance CameraCWE-? (не удалось подобрать CWE)Злоумышленник может беспрепятственно эксплуатировать уязвимость в устройстве, так как оно устарело и не обновляется.
    Продолжение таблицы

    I9 Небезопасные настройки по умолчанию

    Устройства или системы, которые поставляются с небезопасными заводскими настройками или без возможности ограничить изменения конфигурации пользователями, чтобы повысить защищенность системы.

    Тип устройстваНазваниеCWEНедостаток безопасности
    ikettle Smarter Coffee machinesCWE-15: External Control of System or Configuration SettingЗлоумышленник может получить полный контроль над устройством из-за того, что большинство пользователей не настраивают кофемашины под себя, а оставляют их с заводскими небезопасными настройками.
    Parrot AR.Drone 2.0CWE-284: Improper Access ControlНастройки дрона предполагают возможность неавторизованного подключения к нему и управления им.
    HP Fax machineCWE-276: Incorrect Default PermissionsЗлоумышленник может воспользоваться неправильными настройками факса и полным отсутствием механизмов безопасности.
    Smart speakersCWE-1068: Inconsistency Between Implementation and Documented DesignКолонки активируются словами, не указанными в инструкции, и прослушивают происходящие.
    Продолжение таблицы

    I10 Отсутствие физической защиты

    Отсутствие физической защиты позволяет потенциальному злоумышленнику получить доступ к чувствительной информации, которая может быть полезна при удаленной атаке или для получения контроля над устройством.

    Тип устройстваНазваниеCWEНедостаток безопасности
    Baby monitors Mi-CamCWE-284: Improper Access ControlЗлоумышленник может следить за пользователями.
    TOTOLINK routerCWE-20: Improper Input ValidationЗлоумышленник может внедрить бэкдор.
    Router TP-LinkCWE-284: Improper Access ControlЗлоумышленник может получить привилегии администратора и сделать устройство частью ботнета через незащищенный UART.
    Smart Nest ThermostatCWE-284: Improper Access ControlЗлоумышленник может загрузить процессор через периферийное устройство по USB или UART.
    Blink XT2 Sync ModuleCWE-1233: Improper Hardware Lock Protection for Security Sensitive ControlsНезащищенный разъем позволяет злоумышленнику подключиться к устройству.
    Amazon EchoCWE-1233: Improper Hardware Lock Protection for Security Sensitive ControlsЗлоумышленник при помощи паяльника может изменить конфигурацию колонки, превратив ее в устройство для прослушки.
    Продолжение таблицы

     

    К сожалению, этот список можно продолжать бесконечно. На рынке появляется все больше IoT-устройств, а значит у злоумышленников появляются все новые возможности для достижения своих целей. Наша подборка уязвимых IoT-устройств не единственная, и мы предлагаем вам узнать о них больше: SafegadgetExploitee и Awesome IoT Hacks

    Как можно заметить, большинство уязвимостей относятся к одной из десяти категорий списка OWASP, а это значит, что создатели IoT-устройств не учатся на ошибках друг друга. Большинство уязвимостей связаны с безопасностью приложений. Некоторые из упомянутых устройств уже стали частью ботнетов, поскольку меры, принятые вендорами для повышения безопасности, оказались недостаточными.

    Национальный институт стандартов и технологий США выпустил Межведомственный отчет о состоянии международной стандартизации кибербезопасности для Интернета вещей (IoT). В этом документе приведены стандарты безопасности программного обеспечения и рекомендации по повышению его защищенности. Кроме того, производителям IoT-устройств рекомендуется использовать программное обеспечение, способное предотвращать, обнаруживать и смягчать вредоносное воздействие на производимые устройства.

    Перед покупкой IoT-устройства почитайте как можно больше отзывов, чтобы выбрать наиболее безопасное. И помните: нет здоровых, есть недообследованные. Поэтому другая наша рекомендация – по возможности повысить уровень безопасности ваших IoT-устройств самостоятельно, к примеру, установив сложный пароль в настройках. Или обратить внимание на популярный проект OpenWrt, который значительно повысил безопасность IoT-устройств, особенно тех, которые «позабыты» вендорами.

    Мы, в свою очередь, предлагаем услугу исследования безопасности IoT и сетевых устройств. Она может быть востребована как производителями, так и покупателями больших партий таких устройств (например, камер охраны периметра).

    Обсудите статью на habr или vc.ru

    Больше интересных статей

    Подпишитесь на наши обновления

    Узнавайте все новости первыми

      Мы используем куки. Никогда такого не было, объясните

      ОК