Исследователи из Принстонского университета выпустили IoT Инспектор (IoT Inspector) — инструмент, который анализирует безопасность и конфиденциальность IoT устройств, изучая данные, которые они отправляют через Интернет. Они уже использовали этот инструмент для изучения множества различных IoT устройств. Из своего сообщения в блоге:
Вывод: многие IoT устройства довольно часто контактировали с третьей стороной.
Во многих случаях потребители считали, что их устройства связываются с серверами производителя, но они совсем не ожидали общения с другими, абсолютно сторонними объектами.
Мы обнаружили, что многие IoT устройства взаимодействуют со сторонними службами, о которых потребители обычно не знают. Мы нашли много примеров сторонних общений в наших анализах сетевого трафика IoT устройства. Некоторые примеры включают:
- Samsung Smart TV. В течение первой минуты после включения питания телевизор обменивается информацией с Google Play, Double Click, Netflix, FandangoNOW, Spotify, CBS, MSNBC, NFL, Deezer и Facebook, хотя мы не подписаны и не создавали учетные записи ни на одном из них.
- Amcrest WiFi камера безопасности. Камера активно взаимодействует с cellphonepush.quickddns.com, используя HTTPS. QuickDDNS — поставщик услуг Dynamic DNS, обслуживаемый Dahua. Dahua также является производителем камер безопасности, хотя сайт Amcrest не ссылается на Dahua. Служба поддержки клиентов Amcrest сообщила нам, что Dahua был производителем оригинального оборудования.
- Галогенный дымовой детектор. Умный детектор дыма взаимодействует с broker.xively.com. Xively предлагает услугу MQTT, которая позволяет производителям связываться со своими устройствами .
- Лампочка Geeni. Умная лампа Geeni общается с gw.tuyaus.com, которой управляет компания Tuya, китайская компания, которая также предлагает услугу MQTT.
Мы также рассмотрели ряд других устройств, таких как Samsung Smart Camera и TP-Link Smart Plug, и обнаружили связь с третьими сторонами, начиная от пулов NTP (серверов времени) и заканчивая услугами хранения видео.
Их первые два вывода, к которым они пришли, заключаются в том, что «многие IoT устройства не имеют базового шифрования и аутентификации» и, что «поведение пользователя может быть выведено из зашифрованного трафика IoT устройства». Нет никаких сюрпризов.
Перевод: Анна Давыдова
Источник: www.schneier.com
Популярные темы: