Не секрет, что реализация механизмов безопасности IoT-устройств далека от совершенства. Известные категории уязвимостей умных устройств хорошо описаны в Top IoT Vulnerabilities от 2018 года. Предыдущая версия документа от 2014 года претерпела немало изменений: некоторые пункты исчезли совсем, другие были обновлены, появились и новые.
Чтобы показать актуальность этого списка, мы нашли примеры уязвимых IoT-устройств для каждого типа уязвимостей. Наша цель – продемонстрировать риски, с которыми пользователи умных устройств сталкиваются ежедневно.
Уязвимые устройства могут быть совершенно разными – от детских игрушек и сигнализаций до автомобилей и холодильников. Некоторые устройства встречаются в нашем списке не один раз. Все это, конечно же, служит показателем низкого уровня безопасности IoT-устройств вообще.
За подробностями следуйте под кат.
I1 Слабые, предсказуемые и жестко закодированные пароли
Использование уязвимых к брутфорсу, публично доступных (например, из инструкции) или неизменяемых паролей, включая бэкдоры в прошивке или клиентский софт, который дает возможность неавторизованного доступа к системе.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 | Routers Netgear | CWE-601: URL Redirection to Untrusted Site ('Open Redirect') | Кто угодно из сети может воспользоваться путаницей в конфигурации, чтобы получить контроль над устройством, изменять настройки DNS и перенаправлять браузер на зараженные сайты. |
 | Loxone Smart Home | CWE-261: Weak Encoding for Password | Злоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам. |
| AGFEO smart home ES 5xx/6xx | CWE-261: Weak Encoding for Password | Злоумышленник может получить доступ к паролям пользователей, а следовательно, и к их аккаунтам. |
 | Industrial wireless access point Moxa AP | CWE-260: Password in Configuration File | Злоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой. |
 | Heatmiser Thermostat | CWE-260: Password in Configuration File | Злоумышленник может войти с парой логин-пароль от учетной записи администратора, указанной в инструкции, и получить доступ к управлению всей системой. |
 | Digital video recorder Mvpower | CWE-521: Weak Password Requirements | Учетная запись администратора не требует пароль при входе, поэтому доступ к ней может получить кто угодно. |
 | DBPOWER U818A WIFI quadcopter drone | CWE-276: Incorrect Default Permissions | Злоумышленник может получить доступ к файловой системе, используя возможность анонимного доступа без пароля. |
| Nuuo NVR (network video recorder) and Netgear | CWE-259: Use of Hard-coded Password | Злоумышленник может получить привилегии администратора, а значит, и полный контроль над системой из-за жестко закодированного пароля. |
 | Vacuum Cleaner LG | CWE-287: Improper Authentication | Злоумышленник может обойти аутентификацию и получить доступ к видеозаписям с устройства. |
 | Eminent EM6220 Camera | CWE-312: Cleartext Storage of Sensitive Information | В инструкции указан пароль 123456, который большинство пользователей установят не задумываясь и сделают свое устройство уязвимым. |
 | LIXIL Satis Toilet | CWE-259: Use of Hard-coded Password | Пароль для подключения устройства по Bluetooth хранится в открытом виде в коде, что дает злоумышленнику возможность управлять работой умного унитаза по собственному желанию и против воли владельца. |
 | FUEL Drill | CWE-259: Use of Hard-coded Password | Злоумышленник может найти жестко закодированный пароль и получить права администратора и управлять устройством. |
| Billion Router 7700NR4 | CWE-798: Use of Hard-coded Credentials | Жестко закодированные учетные данные дают злоумышленнику возможность получить полный контроль над устройством. |
 | Canon Printers | CWE-269: Improper Privilege Management & CWE-295: Improper Certificate Validation | Злоумышленник может получить доступ к незащищенному устройству и обновить прошивку, потому что логин и пароль не требуются для доступа к устройству. |
| Parrot AR.Drone 2.0 | CWE-285: Improper Authorization | Пустая пара логин-пароль дает возможность злоумышленнику подключиться к дрону и управлять им. |
| Camera Amazon Ring | CWE-285: Improper Authorization | Злоумышленник может использовать для авторизации учетные данные по умолчанию. |
I2 Небезопасные сетевые подключения
Избыточные или небезопасные подключения (особенно с доступом к Интернету) могут компрометировать конфиденциальность, целостность/аутентичность или доступность информации или предоставить возможность неавторизованного удаленного контроля над устройством.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 | Smart Massager | CWE-284: Improper Access Control | Злоумышленник может изменить параметры массажера и причинить пользователю боль, вызвать ожог кожи и нанести вред здоровью. |
| Implantable Cardiac Device | CWE-284: Improper Access Control | Злоумышленник может изменить настройки имплантируемого устройства, что может увеличить расход батареи и/или нанести вред здоровью. |
| Hikvision Wi-Fi IP Camera | CWE-284: Improper Access Control | Злоумышленник может удаленно управлять камерой и даже отключить ее. |
| Foscam C1 Indoor HD Cameras | CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') | Удаленное исполнение кода на камерах может привести к утечке чувствительной пользовательской информации. |
 | Toy Furby | CWE-284: Improper Access Control | Злоумышленник может внести изменения в прошивку и использовать Ферби для слежки за детьми. |
| Toy My Friend Cayla | CWE-284: Improper Access Control | Злоумышленник может следить за пользователями и собирать информацию о них. |
 | iSmartAlarm | CWE-20: Improper Input Validation | Злоумышленник может "заморозить" будильник, и он перестанет будить. |
| iSPY Camera Tank | CWE-284: Improper Access Control | Злоумышленник может залогиниться на устройстве как анонимный пользователь и заполучить контроль над файловой системой устройства. |
 | DblTek GoIP | CWE-598: Information Exposure Through Query Strings in GET Request | Злоумышленник может отправить команды для изменения конфигурации или выключить устройство. |
| Nuuo NVR (network video recorder) and Netgear | CWE-259: Use of Hard-coded Password | Злоумышленник может получить привилегии администратора, изменять настройки устройства и даже следить за пользователями. |
| Sony IPELA Engine IP Cameras | CWE-287: Improper Authentication | Злоумышленник может использовать камеру для отправки фото и видео, добавить камеру в ботнет Mirai или следить за пользователями. |
| iSmartAlarm | CWE-295: Improper Certificate Validation | Злоумышленник может получить пароль или другие пользовательские данные с помощью поддельного SSL-сертификата. |
| Routers Dlink 850L | CWE-798: Use of Hard-coded Credentials | Из-за небезопасного сетевого подключения злоумышленник может получить полный контроль над устройством. |
 | Amazon’s Ring Video Doorbell | CWE-419: Unprotected Primary Channel | Учетные данные для подключения к устройству передаются по незащищенному каналу связи. |
| Cacagoo IP camera | CWE-287: Improper Authentication | Злоумышленник может воспользоваться возможностью неавторизованного доступа к устройству, а затем управлять им. |
| Trifo Ironpie M6 Vacuum cleaner | CWE-284: Improper Access Control | Злоумышленник может удаленно подключиться к устройству и управлять им. |
I3 Небезопасные интерфейсы экосистем
Небезопасные бэкенд API, веб, облачные и мобильные интерфейсы в экосистеме вне устройства, через которые можно скомпрометировать устройство или связанные с ним компоненты. Среди распространенных проблем: отсутствие аутентификации/авторизации, отсутствующее или слабое шифрование, отсутствие фильтрации ввода/вывода.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
| Industrial wireless access point Moxa AP | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может получить доступ к сессии, которая никогда не истечет. |
| AXIS cameras | CWE-20: Improper Input Validation | Злоумышленник может изменить любой файл в системе, получив права администратора. |
| Belkin’s smart home products | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') & CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | Злоумышленник может получить достук к телефону и чувствительной информации. |
| Routers D-Link DIR-300 | CWE-352: Cross-Site Request Forgery (CSRF) | Злоумышленник может изменить пароль от учетной записи администратора и получить его привилегии. |
| AVTECH IP Camera, NVR, DVR | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может изменять настройки устройства через атаку CSRF (например, пароли пользователей). |
| AGFEO smart home ES 5xx/6xx | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может получить доступ ко всем файлам, хранящимся в системе. Он может изменить конфигурацию устройства и установить нелегитимное обновление. |
| Loxone Smart Home | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Все функции устройства могут контролироваться злоумышленником через команды веб-интерфейса. |
 | Switch TP-Link TL-SG108E | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | Злоумышленник может реализовать XSS-атаку на устройство и "заставить" администратора выполнить Javascript-код в браузере. |
| Hanbanggaoke IP Camera | CWE-650: Trusting HTTP Permission Methods on the Server Side | Злоумышленник может изменить пароль администратора и получить его привилегии. |
| iSmartAlarm | CWE-287: Improper Authentication | Злоумышленник может отправлять команды на устройство, включать и выключать его. |
 | Western Digital My Cloud | CWE-287: Improper Authentication | Злоумышленник может получить полный контроль над устройством. |
 | In-Flight Entertainment Systems | CWE-287: Improper Authentication | Злоумышленник может контролировать средства информирования пассажиров. Например, может подделать данные о полете (высота, скорость и пр.). |
 | Smart key KeyWe | CWE-327: Use of a Broken or Risky Cryptographic Algorithm | Злоумышленник может узнать закрытый ключ, чтобы открыть дверь. |
I4 Отсутствие безопасного механизма обновлений
Отсутствие возможности безопасно обновить устройство. Включает в себя отсутствие валидации прошивки, отсутствие безопасной доставки обновлений на устройство (незашифрованная передача), отсутствие механизмов, запрещающих откат к старым версиям прошивки, отсутствие уведомлений об обновлениях, связанных с безопасностью.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
| Devices by GeoVision | CWE-295: Improper Certificate Validation | Злоумышленник может обновить прошивку устройства без авторизации. |
| Canon Printers | CWE-295: Improper Certificate Validation | Механизм аутентификации отсутствует: кто угодно может получить доступ к устройству и обновить/изменить прошивку. |
| Smart Nest Thermostat | CWE-940: Improper Verification of Source of a Communication Channel | Прошивка доставляется на устройство по незащищенному протоколу передачи данных, и нет возможности проверить ее легитимность. |
I5 Использование небезопасных или устаревших компонентов
Использование недопустимых или небезопасных программных компонентов и/или библиотек, из-за которых устройство может быть скомпрометировано. Сюда относятся небезопасная кастомизация ОС и использование стороннего софта или железа, полученного через скомпрометированную цепочку поставок.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 | Amazon Echo | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Control | Злоумышленник при помощи паяльника может изменить конфигурацию колонки, и превратить ее в устройство для прослушки. |
 | Light bulb | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls | Злоумышленник может перепаять элементы лампы. |
I6 Недостаточная защита приватности
Персональные данные пользователей хранятся на устройстве или в экосистеме, которые используются небезопасным или ненадлежащим образом, или без соответствующих на то прав.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 | Gator 2 smartwatch | CWE-359: Exposure of Private Information ('Privacy Violation') | Злоумышленник может получить доступ к информации о версии прошивки, IMEI, времени, методе определения локации (GPS/Wi-Fi), координатах и уровне заряда батареи. |
| Routers D-Link DIR-600 and DIR-300 | CWE-200: Information Exposure | Злоумышленник может получить доступ к чувствительной информации об устройстве или сделать его частью ботнета. |
 | Samsung Smart TV | CWE-200: Information Exposure | Злоумышленник может получить доступ к бинарным файлам или аудиозаписям, хранящимся в системе телевизора. |
| Home security camera | CWE-359: Exposure of Private Information ('Privacy Violation') | Фотографии пользователя могут быть украдены злоумышленником и опубликованы в сети. |
 | Smart sex toys We-Vibe | CWE-359: Exposure of Private Information ('Privacy Violation') | Злоумышленник может получить информацию о температуре устройства и интенсивности его вибрации. |
| iBaby M6 baby monitor | CWE-359: Exposure of Private Information ('Privacy Violation') | Злоумышленник может просмотреть информацию, включая детали видеозаписи. |
I7 Небезопасная передача и хранение данных
Отсутствие шифрования или контроля доступа к чувствительной информации внутри экосистемы – при хранении, передаче или обработке.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
| Owlet Wi-Fi baby heart monitor | CWE-201: Information Exposure Through Sent Data | Злоумышленник может следить за детьми и родителями через камеру. |
 | Samsung fridge | CWE-300: Channel Accessible by Non-Endpoint ('Man-in-the-Middle') | Злоумышленник может заполучить учетные данные от Google-аккаунтов жертв. |
 | Volkswagen car | CWE CATEGORY: Cryptographic Issues | Злоумышленник может получить удаленный доступ к управлению машиной. |
 | HS-110 Smart Plug | CWE-201: Information Exposure Through Sent Data | Злоумышленник может контролировать работу вилки, например, выключить подсветку. |
| Loxone Smart Home | CWE-201: Information Exposure Through Sent Data | Злоумышленник может контролировать каждое устройство, работающее в системе умного дома, и получить права доступа пользователя. |
| Samsung Smart TV | CWE-200: Information Exposure | Злоумышленник может прослушивать беспроводную сеть и инициировать атаку брутфорсом, чтобы восстановить ключ и дешифровать трафик. |
| Routers Dlink 850L | CWE-319: Cleartext Transmission of Sensitive Information | Злоумышленник может удаленно контролировать устройство. |
 | Skaterboards Boosted, Revo, E-Go | CWE-300: Channel Accessible by Non-Endpoint ('Man-in-the-Middle') | Злоумышленник может отправлять различные команды, чтобы управлять скейтом. |
| LIFX smart LED light bulbs | CWE-327: Use of a Broken or Risky Cryptographic Algorithm | Злоумышленник может перехватывать и дешифровать трафик, включая данные о конфигурации сети. |
| Stuffed toys | CWE-521: Weak Password Requirements | Аудиозаписи пользователей хранятся так, что доступ к ним может получить злоумышленник. |
| IoT Smart Deadbolt | CWE-922: Insecure Storage of Sensitive Information | Злоумышленник может получить доступ к чувствительной информации, хранящейся на устройстве. |
| Router ASUS | CWE-200: Exposure of Sensitive Information to an Unauthorized Actor | Злоумышленник может получить доступ к чувствительной пользовательской информации. |
I8 Отсутствие возможности настройки устройства
Отсутствие поддержки безопасности устройств, выпущенных в производство, включая управление обновлениями, безопасное снятие с эксплуатации, системный мониторинг, средства реагирования.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
| TP-LINK IP Surveillance Camera | CWE-? (не удалось подобрать CWE) | Злоумышленник может беспрепятственно эксплуатировать уязвимость в устройстве, так как оно устарело и не обновляется. |
I9 Небезопасные настройки по умолчанию
Устройства или системы, которые поставляются с небезопасными заводскими настройками или без возможности ограничить изменения конфигурации пользователями, чтобы повысить защищенность системы.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
 | ikettle Smarter Coffee machines | CWE-15: External Control of System or Configuration Setting | Злоумышленник может получить полный контроль над устройством из-за того, что большинство пользователей не настраивают кофемашины под себя, а оставляют их с заводскими небезопасными настройками. |
| Parrot AR.Drone 2.0 | CWE-284: Improper Access Control | Настройки дрона предполагают возможность неавторизованного подключения к нему и управления им. |
| HP Fax machine | CWE-276: Incorrect Default Permissions | Злоумышленник может воспользоваться неправильными настройками факса и полным отсутствием механизмов безопасности. |
| Smart speakers | CWE-1068: Inconsistency Between Implementation and Documented Design | Колонки активируются словами, не указанными в инструкции, и прослушивают происходящие. |
I10 Отсутствие физической защиты
Отсутствие физической защиты позволяет потенциальному злоумышленнику получить доступ к чувствительной информации, которая может быть полезна при удаленной атаке или для получения контроля над устройством.
| Тип устройства | Название | CWE | Недостаток безопасности |
|---|---|---|---|
| Baby monitors Mi-Cam | CWE-284: Improper Access Control | Злоумышленник может следить за пользователями. |
| TOTOLINK router | CWE-20: Improper Input Validation | Злоумышленник может внедрить бэкдор. |
| Router TP-Link | CWE-284: Improper Access Control | Злоумышленник может получить привилегии администратора и сделать устройство частью ботнета через незащищенный UART. |
| Smart Nest Thermostat | CWE-284: Improper Access Control | Злоумышленник может загрузить процессор через периферийное устройство по USB или UART. |
| Blink XT2 Sync Module | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls | Незащищенный разъем позволяет злоумышленнику подключиться к устройству. |
| Amazon Echo | CWE-1233: Improper Hardware Lock Protection for Security Sensitive Controls | Злоумышленник при помощи паяльника может изменить конфигурацию колонки, превратив ее в устройство для прослушки. |
К сожалению, этот список можно продолжать бесконечно. На рынке появляется все больше IoT-устройств, а значит у злоумышленников появляются все новые возможности для достижения своих целей. Наша подборка уязвимых IoT-устройств не единственная, и мы предлагаем вам узнать о них больше: Safegadget, Exploitee и Awesome IoT Hacks
Как можно заметить, большинство уязвимостей относятся к одной из десяти категорий списка OWASP, а это значит, что создатели IoT-устройств не учатся на ошибках друг друга. Большинство уязвимостей связаны с безопасностью приложений. Некоторые из упомянутых устройств уже стали частью ботнетов, поскольку меры, принятые вендорами для повышения безопасности, оказались недостаточными.
Национальный институт стандартов и технологий США выпустил Межведомственный отчет о состоянии международной стандартизации кибербезопасности для Интернета вещей (IoT). В этом документе приведены стандарты безопасности программного обеспечения и рекомендации по повышению его защищенности. Кроме того, производителям IoT-устройств рекомендуется использовать программное обеспечение, способное предотвращать, обнаруживать и смягчать вредоносное воздействие на производимые устройства.
Перед покупкой IoT-устройства почитайте как можно больше отзывов, чтобы выбрать наиболее безопасное. И помните: нет здоровых, есть недообследованные. Поэтому другая наша рекомендация – по возможности повысить уровень безопасности ваших IoT-устройств самостоятельно, к примеру, установив сложный пароль в настройках. Или обратить внимание на популярный проект OpenWrt, который значительно повысил безопасность IoT-устройств, особенно тех, которые "позабыты" вендорами.
Мы в свою очередь предлагаем услугу исследования безопасности IoT и сетевых устройств. Она может быть востребована как производителями, так и покупателями больших партий таких устройств (например, камер охраны периметра).