В случае взлома приложений Samsung и Swann IoT, когда мы столкнемся с нашими недостатками безопасности?

Приложение Swann Security оказалось уязвимым для взлома

В четверг в прошивке Samsung были обнаружены недостатки безопасности. SmartThings Hub. Cisco Talos опубликовала блог о множестве уязвимостей. В роли Джереми Коуэна сообщает, что это не единственный недостаток безопасности Интернета вещей, обнаруженный в последнее время. Поэтому неудивительно, что предприятия нервничают по поводу безопасности своих будущих услуг IIoT.

Талос обнаружил уязвимость Samsung Smart Things

Cisco Talos работал с Samsung, чтобы убедиться, что эти проблемы были решены, и что обновление прошивки было доступно для затронутых клиентов.

Хаб - это центральный контроллер, который позволяет пользователям, оснащенным смартфонами, контролировать и управлять различной бытовой электроникой с поддержкой Интернета вещей (IoT). К ним относятся:лампочки; системы отопления, вентиляции и кондиционирования (HVAC); дверные замки и тд. Эти уязвимости могут позволить злоумышленнику выполнить команды операционной системы (ОС) или другой произвольный код на уязвимых устройствах.

Прошивка, запущенная на SmartThings Hub, основана на Linux и обеспечивает связь с устройствами Интернета вещей с использованием различных технологий, таких как Ethernet, Zigbee, Z-Wave и Bluetooth.

Об этой уязвимости сообщили Samsung, у которой теперь есть исправление, но представитель Cisco Talos назвал уязвимости «довольно серьезными».

Учитывая, что эти устройства часто собирают конфиденциальную информацию, обнаруженные уязвимости могут позволить злоумышленнику отслеживать и контролировать устройства в доме или на предприятии или выполнять несанкционированные действия. Например:

• Умные замки, управляемые SmartThings Hub, могут быть разблокированы, обеспечивая физический доступ к дому.
• Камеры, установленные в доме, можно использовать для удаленного наблюдения за жильцами.
• Датчики движения, используемые системой охранной сигнализации, можно было отключить.
• Умные розетки можно контролировать, чтобы выключать или включать важные системы, которые могут быть подключены.
• Термостаты могут контролироваться неавторизованными злоумышленниками.
• Злоумышленники также могут причинить физический ущерб бытовой технике или другим устройствам, которые могут быть подключены к интеллектуальным розеткам, установленным в интеллектуальном здании.

Домашние камеры видеонаблюдения Суонна похищены

В то же время на прошлой неделе появились новости о том, что камеры наблюдения Суонна могут быть легко захвачены, а их видео- и аудиоканалы доступны. Популярная марка беспроводных камер видеонаблюдения, разработанная для защиты предприятий и домов, на самом деле была уязвима для шпионского взлома.

Недостаток означал, что можно было получить доступ к видео и аудио, передаваемым из чужих владений, внеся незначительные изменения в Swann Security . Приложение. Исследователи обнаружили проблему после того, как BBC сообщил о случае, когда один покупатель получил записи другого.

Отвечая на новые результаты, Суонн сообщил BBC, что проблема была ограничена одной моделью, SWWHD-Intcam, также известной как Swann Smart Security Camera.

Комментируя это, Адам Браун, менеджер по решениям безопасности в Калифорнийской Synopsys , компания, занимающаяся тестированием безопасности приложений, сообщает IoT Now :«У меня лично есть опыт работы с камерами Swann - раньше у меня была одна, хоть и не та, что в отчете. Я обнаружил, что к каналу камеры можно было получить доступ непосредственно из сети, в которой была камера, и был некоторый контроль доступа к этому каналу видео - жестко запрограммированный пароль, насколько я помню, - это плохая практика.

«Если бы эта камера была размещена непосредственно в Интернете (а не за брандмауэром), посторонние глаза потенциально могли бы увидеть то, что могла видеть моя камера. Очевидные слабые меры безопасности указывают на системные недостатки. Не вдаваясь в подробности того, что здесь пошло не так, я мог бы предположить, что инициатива по обеспечению безопасности программного обеспечения в Swann либо отсутствует, либо может выиграть от некоторых преднамеренных улучшений, инициированных руководством. Рынок камер догоняет кибербезопасность. Ведущие китайские производители интегрируют конфиденциальность и безопасность в свои камеры и инфраструктуру. Конфиденциальность и безопасность будут иметь жизненно важное значение для индустрии фотоаппаратов, которая сама по себе является решением безопасности », - добавляет Браун.

Безопасность - проблема №1 в IIoT

Итак, стоит ли удивляться, что безопасность - это самая большая проблема для предприятий, рассматривающих свое будущее в промышленном Интернете вещей (IIoT)? Мы уже спрашивали об этом раньше, но какой шум (и разрушительные заголовки) произойдет, прежде чем OEM-производители устройств начнут серьезно относиться к безопасности?

По данным исследования безопасности промышленного Интернета вещей SANS за 2018 год Отчет , безопасность - это самая большая проблема, когда дело касается промышленного Интернета вещей.

Дин Феррандо, системный инженер, менеджер Tripwire комментарии:«Расширение подключенных устройств и технологий сопряжено с риском. Разработка и развертывание промышленного Интернета вещей ставит безопасность на первое место при оценке рисков. Частично это связано с тем, что производители Интернета вещей поставляют устройства с минимальной защитой или без нее, поэтому разработчикам продуктов очень важно тщательно изучить технологию в устройствах и гарантировать, что безопасность программируется на этапе программного обеспечения для устранения любых недостатков.

«Когда подключенные устройства могут вносить существенные изменения в физический мир, жизнь и безопасность становятся особенно важными для кибербезопасности. Вот почему безопасность в критически важной инфраструктуре должна быть решена на самом высоком уровне. К счастью, по мере появления новых устройств и проблем появляется множество защитных механизмов и технологий, из которых можно выбирать », - заключает Феррандо. «Если промышленные организации хотят избежать кибератак, необходимо внедрить стратегию гигиены безопасности, которая включает обучение персонала наряду с инвестированием в правильные технологии».

Автор этой статьи -
Джереми Коуэн (на фото слева),
главный редактор IoT Now
и VanillaPlus.