Компания Pradeo Security изучило (http://blog.pradeo.com/iot-mobile-applications-takeover) 100 типовых мобильных приложений для управления IoT-устройствами, такими как системы домашней автоматизации, термостаты, электрические жалюзи, механизмы дистанционного управления, умные лампочки и т.п. Ситуация с безопасностью подобных приложений оказалась плачевной:- В 80% протестированных приложений выявлены уязвимости, при этом в среднем фиксировалось 15 уязвимостей на приложение.
- 15% приложений были уязвимы для проведения MiTM-атак, позволяющих захватить управление над IoT-устройством;
- 90% приложений отправляли связанную с работой IoT-устройства информацию на внешние системы по сети. Например, 81% приложений отправляли содержимое своих файлов, 75% информацию об оборудовании (производитель, состояние заряда и т.п.), 73% информацию о мобильном устройстве (например, версию ОС), 38% содержимое временных файлов, 27% информацию о сотовой сети, 19% звуковые и видео записи, 12% данные о местоположении, 12% параметры сетевого подключения (IP, состояние Wi-Fi и т.п.), 8% идентификатор устройства (IMEI);- 8% приложений отправляли данные на сомнительные хосты, в том числе на те, у которых истекло время регистрации и которые были доступны для продажи.
URL: http://blog.pradeo.com/iot-mobile-applications-takeover
Новость: https://www.opennet.ru/opennews/art.shtml?num=48361
Вот это новость! Вообще, удивительно, что производители так называемых IoT устроиств делают закрытые проги. Они же не проги производят, а, внезапно, IoT устройства! Открытый протокол + открытая прога таки как раз расширяет рынок.
> Открытый протокол + открытая прога таки как раз расширяет рынок.Сколько читал про IoT - дыра на дыре и дырой погоняет. Вот ещё и это теперь. Все эти граждане ждут что ли большой, мягко скажем, неприятности? Чтобы потом им по рогам настучали.
эти граждане спешат наклепать велосипедов на формирующемся рынке. 90% из них безымянные китайцы, которые под разными марками продают местные производители.
Видимо, сделать что-то кривое на копеешном китайском контроллере проще и дешевле чем искать и прикручивать ваши открытые протоколы к этому же железу.
> 19% звуковые и видео записи, 12% данные о местоположениия так понимаю что под lot-устройством которым планируется управлять является человек ?
Завёлся какой-то один идиот, который переиначил понятие Smart Home под IoT, остальные как бобики за ним тявкают.
IoT планировался, проектировался вообще не так, не управление пальцем со смарта чайниками и жалюзями...
В итоге IoT похоронили за ширпотребной ху...той для детишек и гаджетдрочеров.1. IoT девайс - "конечный автомат".
2. У IoT девайса нет прямой обратной связи.
3. IoT девайсы взаимодействуют между собой без участия человека.
4. Взаимодействие - получение данных для коррекции свое работы.На пальцах: жалюзями управляет датчик освещённости, лампами - датчики движения, ик-сенсоры, звука..
Совокупность IoT девайсов лучше тебя знает какое у тебя здоровье и что тебе нужно вообще и в данный момент!
Но мешки с костями с этим стали не согласны (точнее не осилили алгоритмизацию), и переделали всё под тупой Remote Access к кофеварке.
Больше все машут красными труселями на форумах о своей крутости - фанбои Xiaomi.
Ерунда какая. Как раз у IoT-девайсов обратная связь есть, и она не ограничивается "контроллером", который данной железкой управляет, а наоборот - может идти довольно далеко (потому и "интернет"), на какой-нибудь IFTTT или Alexa или ещё куда. А то, что эти штуки дают управлять со смарта жалюзями - уже частный случай.
> Ерунда какая.Да-да-да, и тебе так удобнее думать©
Ты хоть в Википедию загляни, там ещё остались куски начальных тезисов 10-летней давности.
Просто дядьки из больших компаний решили дать вторую жизнь Smart Home из китайского ширтореба
ибо mesh-сеть на zigbee - невьеб...ско дорогое удовольствие. Там и realtime, и гарантированное
срабатывание, обработка отказов, самовосстановление,... и пылесос не нападёт на чайник.
Лень лезть, но чегой-то я сомневаюсь, что там будет стек из тупых устройств, неспособных затянуть нужные им данные извне.А зигби... Ну сюрприз - дешевизна решает. Поэтому на практике оно живёт на самопале на nRF или вайфай-чипах "всё-в-одном".
Какая разница как называется? Раз уж люди называют смарт устройства интернет хренью, пусть так! Статья о том, какая там ситуация с безопасностью
1) Первое впечатление от статьи: поверхностно, не серьезно.
2) Тестировали не девайсы, а только мобильные апликухи. Для девайсов нужны скилы и деньги. С девайсами ситуация была бы не лучше, но проблемы всетаки другие.
3) Первоначальные идеи IoT десятилетней давности умерли изза коммерческой нереализуемости, поскольку не удалось найти компромис между минимальной ценой и достаточной вычислительной мощностью.
>Ситуация с безопасностью подобных приложений оказалась плачевнойА вы ожидали иначе?
>8% приложений отправляли данные на сомнительные хосты, в том числе на те, у которых истекло время регистрации и которые были доступны для продажи.Невероятно! Как такое может быть?
Настоящий производитель умер. Но его творения продолжают продавать в отсутствие поддержки.Олень подстреленный хрипит,
Лань, уцелев, резвится
Тот караулит, этот спит -
И так весь мир вертится.
"Ситуация с безопасностью подобных приложений оказалась плачевной"
Внезапно!