Компания Hewlett-Packard взяла на себя миссию повысить общий уровень осведомленности в вопросах безопасности конфигураций и практик в бурно развивающемся секторе Интернета вещей. Объектом недавнего исследования HP стали умные часы, которые, как и все другие ранее проанализированные типы устройств для Интернета вещей, имеют изъяны в части безопасности.
HP начала серию своих публикаций по теме Интернета вещей в июле 2014 года, обнаружив и обнародовав наиболее общие уязвимости в 10 популярных устройствах. Продолжением этого исследования стала публикация в феврале 2015 года отчета по устройствам для охраны и обеспечения безопасности дома, в котором приводились факты об их недостаточной защищенности. Теперь HP показывает, что многие обнаруженные ею типы уязвимостей присущи и умным часам, включая слабые механизмы аутентификации и шифрования. Об этом рассказал Дэниэл Мисслер, руководитель практики в HP Fortify.
HP раскрывает детали своего анализа безопасности умных часов в новом отчете, содержащем данные по 10 популярным моделям. Как и в предыдущих отчетах, HP не указывает ни конкретных производителей, ни конкретных продуктов.
«Многие умные часы являются частью экосистемы, включающей мобильные и облачные компоненты, и нередко они требуют от пользователя ввода персональных данных, — рассказал Мисслер. — Мы обнаружили, что большой объем персональных данных пересылается в разные системы — это может быть пять-шесть систем, включая рекламные и аналитические сети».
Кроме того, часы при взаимодействии с облаком используют слабые парольные схемы; исследователи HP смогли, применив атаку с перебором паролей, получить доступ к приложениям. «В 90% случаев можно было легко перехватить осуществляемые с помощью умных часов коммуникации», — сообщил Мисслер.
Одним из слабых мест является процесс обновления ПО в часах. В HP выяснили, что 70% протестированных часов не использовали шифрование при проведении обновлений. Вследствие этого гаджеты оказываются уязвимы для атак по схеме «человек посередине», при которой злоумышленник может перехватить коммуникации и загрузить в часы вредоносную прошивку.
Кроме того, HP сообщила, что только 50% протестированных устройств имели опцию автоматической блокировки после определенного периода времени — то есть другие 50% не защищены от использования злоумышленником, если пользователь просто оставил часы на столе.
Есть по крайней мере один аспект безопасности, в котором HP искала, но не нашла особых проблем — это Bluetooth-коммуникации. Это важный результат, так как большинство умных часов сегодня использует Bluetooth для подключения к мобильным устройствам. В дальнейших исследованиях HP, возможно, глубже проанализирует различные протоколы для подключения умных часов.
В целом, как считает Мисслер, выявленные HP проблемы в безопасности умных часов не являются чем-то уникальным. «Мы сталкиваемся с одними и теми же проблемами снова и снова. Умные часы в этом плане ничем не отличаются от других устройств, имеющих отношение к Интернету вещей, — констатировал Мисслер. — Подобные уязвимости мы также обнаруживали и в мобильных устройствах, и в веб-продуктах».
Использование умных часов потенциально несет в себе большие риски ввиду характерных сценариев их использования. Мисслер отмечает, что умные часы по своей природе являются персональными устройствами и сейчас их применяют в качестве инструмента предоставления доступа, например в здание или автомобиль. «Часы — это персональное устройство, которое обычно всегда с вами. Чем больше уязвимостей в них содержится, тем больший риск они представляют», — считает он.