На конференции PrivacyCon, организованной федеральной торговой комиссией США (FTC), два студента Принстонского университета рассказали о том, что многие устройства Интернета вещей (IoT) все еще разрабатываются и программируются без учета требований безопасности. Они выбрали случайный набор устройств IoT и посмотрели, какие данные и как передаются онлайн. Среди этих устройств:
- Домашний термостат.
- Камера наблюдения.
- Концентратор IoT, служивший самостоятельным шлюзом между Интернетом, дверным датчиком и интеллектуальным коммутатором (как правило, интеллектуальный коммутатор включает-выключает питание, управлять ним можно по Интернету).
Студенты не пытались декомпилировать встроенное микропрограммное обеспечение, а только наблюдали за поведением устройств. Вот что они обнаружили:
- Передаваемый кадр использовал незашифрованный трафик HTTP, включая идентификацию устройства и адрес электронной почты.
- Камера видеонаблюдения передавала изображение в открытом виде по HTTP.
- Динамик передавал потоком незашифрованные данные.
- Термостат использовал HTTPS, но входящие сообщения прогноза погоды включали почтовый индекс в виде простого текста.
- Комутатор везде использовал HTTPS.
Хорошие новости: два устройства все же использовали шифрование трафика.
Автор статьи — Microsoft Security Trusted Advisor, MVP Consumer Security.
