Źle zabezpieczone 'inteligentne' zegarki

[KopalniaWiedzy.pl 322]

HP informuje, że wszystkie testowane przez firmę „inteligentne” zegarki (smartwatch) zawierają poważne dziury w zabezpieczeniach. Tego typu gadżety, wyposażone m.in. w łączność bezprzewodową, mogą stać się nowym celem cyberataków.

Gadżety takie powoli zdobywają sobie popularność i z czasem będą przechowywały coraz więcej istotnych informacji, takich np. jak dane o stanie zdrowia właściciela. Niewykluczone, że w przyszłości zostaną wyposażone w mechanizmy pozwalające na otwieranie mieszkania czy samochodu. Firmy produkujące tego typu gadżety już teraz powinny myśleć o ich lepszych zabezpieczeniach.

Podczas testów eksperci z HP stwierdzili, że najpoważniejsze problemy występujące w „inteligentnych” zegarkach to:

nieodpowiednia autoryzacja. Żaden z testowanych zegarków nie wykorzystywał dwustopniowego uwierzytelniania i żaden nie blokował się po kilku nieudanych próbach wpisania hasła. Trzy z dziesięciu testowanych urządzeń było podatnych na atak, w ramach którego haker mógł zdobyć dostęp do danych korzystając ze słabego zabezpieczenia hasła, braku blokady oraz możliwości odgadnięcia nazw użytkownika;

brak odpowiedniego szyfrowania. Co prawda we wszystkich produktach wykorzystywano protokół SSL/TLS, to 40% zegarków było podanych na atak POODLE lub używało SSL v2;

źle zabezpieczone interfejsy urządzeń i aplikacji mobilnych. W aż 30% produktów stwierdzono błędy w komunikatach informujących o nieudanej próbie logowania. Komunikaty stanowiły wskazówkę, dzięki której odgadnięcie prawidłowych danych uwierzytelniających stawało się łatwiejsze.

źle zabezpieczone firmware i oprogramowanie firm trzecich: w przypadku aż 70% zegarków stwierdzono, że aktualizacje oprogramowania są przesyłane w formie niezaszyfrowanej. Problem dotyczy zarówno transmisji jak i samych plików. Co prawda wiele aktualizacji było cyfrowo podpisanych, co zabezpieczało przed zainstalowaniem fałszywej czy zmanipulowanej aktualizacji, jednak brak szyfrowania oznacza, że przestępcy mogą pobrać i przeanalizować pliki.

problemy z ochroną prywatności. Wszystkie zegarki zbierały dane prywatne, takie jak nazwiska, adresy, daty urodzenia, informacje o wadze, płci, rytmie serca itp. Biorąc pod uwagę słabe zabezpieczenia trzeba stwierdzić, że dane takie łatwo mogą paść ofiarą hakerów.

HP apeluje do użytkowników „inteligentnych” zegarków by – dopóki producenci odpowiednio ich nie zabezpieczą – nie udostępniali im zbyt wielu informacji osobistych i nie korzystali z funkcji dających dostęp do mieszkania czy samochodu.

« powrót do artykułu