Умные детские игрушки и устройства Интернета вещей под угрозой массовых взломов

29.02.2024 05:42

Эксперты компании уведомили производителя, и к настоящему моменту он устранил описанные проблемы безопасности. Робот, «начинку» которого проанализировали специалисты «Лаборатории Касперского», — это интерактивное устройство на базе операционной системы Android. Он оснащён большим цветным экраном, микрофоном, видеокамерой и может передвигаться — условный «планшет на колёсах». Функциональность робота включает игровые и обучающие приложения для детей, голосовой ассистент,...

Сообщение Умные детские игрушки и устройства Интернета вещей под угрозой массовых взломов появились сначала на Время электроники.

Эксперты компании уведомили производителя, и к настоящему моменту он устранил описанные проблемы безопасности.

Робот, «начинку» которого проанализировали специалисты «Лаборатории Касперского», — это интерактивное устройство на базе операционной системы Android. Он оснащён большим цветным экраном, микрофоном, видеокамерой и может передвигаться — условный «планшет на колёсах». Функциональность робота включает игровые и обучающие приложения для детей, голосовой ассистент, возможность выхода в интернет и связи с родителями через приложения на их смартфонах.

Перед началом использования робота его необходимо связать с аккаунтом взрослых. Для этого пользователь должен установить на своём мобильном устройстве специальное приложение. При первом включении игрушка просит выбрать сеть Wi-Fi, привязать робота к мобильному устройству родителя и ввести имя и возраст ребёнка.

Какие уязвимости были найдены. Первый серьёзный недостаток с точки зрения кибербезопасности заключался в том, что информация о ребёнке передавалась по протоколу HTTP в открытом виде. Таким образом, теоретически злоумышленники могли бы перехватить её, используя программное обеспечение для анализа сетевого трафика. При этом протокол HTTP использовался до обновления прошивки робота до актуальной версии, после обновления стал использоваться HTTPS.

Также эксперты изучили некоторые сетевые запросы и увидели, что один из них возвращает токен доступа к API на основе следующих аутентификационных данных: имя пользователя, пароль и ключ. Причём происходило это даже в том случае, если запрос содержал заведомо неправильный пароль из произвольного набора символов.

Следующий сетевой запрос возвращал параметры конфигурации для конкретного робота по уникальному идентификатору, состоящему из девяти символов. Но поскольку этот набор символов был коротким и предсказуемым, то потенциально злоумышленники могли быстро подобрать его и в результате получить информацию о владельце игрушки, в том числе IP-адрес, страну проживания, имя, пол и возраст ребёнка, а также, с помощью ещё одного запроса, адрес электронной почты, номер телефона взрослого и код для привязки его мобильного устройства к роботу.

Звонки от злоумышленников. При установке сеанса видеосвязи отсутствовали должные проверки безопасности. Злоумышленники потенциально могли бы использовать камеру и микрофон робота для звонков детям без авторизации с родительского аккаунта. В таком случае, если бы ребёнок принял звонок, недоброжелатель мог бы начать общаться с ним без ведома взрослых.

Удалённый контроль. Используя метод брутфорса (полного перебора паролей) для восстановления шестизначного одноразового пароля и не имея ограничений на количество неудачных попыток, злоумышленник потенциально мог удалённо привязать робота к своей учётной записи вместо родительского аккаунта. В таком случае, чтобы восстановить связь легитимным путём, пришлось бы обратиться в техподдержку производителя.

После того, как «Лаборатория Касперского» сообщила о проблемах безопасности производителю, он исправил их.

«При покупке „умных“ устройств необходимо обращать внимание не только на их развлекательные и образовательные опции, но и на уровень защищённости. При этом не стоит полагаться на цену — даже самые дорогие смарт-устройства могут иметь уязвимости, которыми могут воспользоваться злоумышленники. Мы рекомендуем родителям внимательно изучать обзоры умных игрушек, следить за новостями об обновлениях программного обеспечения и по возможности присматривать за ребёнком, пока он взаимодействует с таким гаджетом», — сказал Николай Фролов, старший исследователь Kaspersky ICS CERT.

«Лаборатория Касперского» рекомендует пользователям умных устройств, в том числе умных игрушек: регулярно обновлять прошивку и программное обеспечение всех подключённых устройств, поскольку обновления часто содержат важные исправления безопасности, устраняющие известные уязвимости; перед покупкой изучать информацию об устройстве и разработчике: доверять лучше проверенным игрокам рынка; просматривать и ограничивать разрешения, предоставляемые мобильным приложениям для управления умным устройством; обеспечивать безопасность мобильных устройств, через которые происходит управление умными гаджетами, с помощью надёжного защитного решения.

Устройства интернета вещей сегодня представляют большой интерес для хакеров

Специалист по наступательной безопасности Sitronics Group Никита Котиков отметил важность защиты умных вещей и их компонентов в связи с их широким проникновением и интеграцией в различные сферы экономики, в том числе медицину, промышленность и транспорт.

Эксперт Sitronics Group отмечает, что к 2030 г. количество IoT-устройств может достичь 30 млрд. Речь идет не только о ставших уже привычными устройствах в виде «умных» колонок и роботов-пылесосов, но и промышленном интернете вещей – сложных системах с датчиками и контроллерами для сбора информации с различных агрегатов о корректности производственных процессов. Поэтому рост количества выпускаемых устройств уже сегодня требует повышения уровня их защиты.

В числе самых распространенных угроз можно выделить три направления – физическое, удаленное воздействия на устройство, а также воздействие на backend-инфраструктуру.

«IoT-устройства строятся на базе чипов и сбой в их работе позволяет обойти механизмы Secure Boot и шифрования памяти. Вызвать такой сбой можно направленным электромагнитным полем. Злоумышленник беспрепятственно выкачивает незашифрованную прошивку устройства для анализа, и может загрузить на устройство модифицированный код. Это позволит использовать устройство пользователя не по назначению или привести в состояние «кирпича». Поэтому немаловажным будет обратить внимание на анализ безопасности самого исходного кода прошивки – зачастую именно там содержатся недостатки, приводящие в дальнейшем к появлению 0-day уязвимостей, раскрытию учетных данных, директорий backend-серверов и иной критической информации», – отметил эксперт.

Удаленное воздействие на устройство также с использованием атак типа «человек посередине» (MiTM) дает возможность инспектировать все передаваемые между устройствами и серверами данные, в том числе секреты доступа и конфигурационную информацию. В случае воздействия на backend-инфраструктуру в первую очередь необходимо определить наличие открытых портов и используемых сервисов, а также проверить их конфигурацию и актуальность версий.

Также важной задачей является обеспечение безопасного доступа к административным интерфейсам и сервисам, в том числе, исключение использования учетных данных по умолчанию или простых комбинаций.

В числе популярных уязвимостей IoT-устройств эксперт называет восемь недостатков. В их числе уязвимости микропроцессоров, небезопасная конфигурация, раскрытие информации (исходный код, bootlog), слабые алгоритмы шифрования, атаки на протоколы пейринга и взаимодействия (BLE, ZigBee) и другие.

«Избежать возникновения недостатков поможет реализация комплексного подхода к безопасности функционала на этапах проектирования, конструирования и разработки ПО, а также использование технологий собственного межсетевого экранирования и стойких алгоритмов шифрования данных», – сказал специалист Sitronics Group.