Анализ безопасности мобильных приложений для управления IoT-устройствами
Как сообщает opennet.ru компания Pradeo Security изучило 100 типовых мобильных приложений для управления IoT-устройствами, такими как системы домашней автоматизации, термостаты, электрические жалюзи, механизмы дистанционного управления, умные лампочки и т. п. Ситуация с безопасностью подобных приложений оказалась плачевной:
- В 80% протестированных приложений выявлены уязвимости, при этом в среднем фиксировалось 15 уязвимостей на приложение.
- 15% приложений были уязвимы для проведения MiTM-атак, позволяющих захватить управление над IoT-устройством;
- 90% приложений отправляли связанную с работой IoT-устройства информацию на внешние системы по сети. Например, 81% приложений отправляли содержимое своих файлов, 75% информацию об оборудовании (производитель, состояние заряда и т. п.), 73% информацию о мобильном устройстве (например, версию ОС), 38% содержимое временных файлов, 27% информацию о сотовой сети, 19% звуковые и видео записи, 12% данные о местоположении, 12% параметры сетевого подключения (IP, состояние Wi-Fi и т. п.), 8% идентификатор устройства (IMEI);
- 8% приложений отправляли данные на сомнительные хосты, в том числе на те, у которых истекло время регистрации и которые были доступны для продажи.
