На конференции PrivacyCon, организованной федеральной торговой комиссией США (FTC), два студента Принстонского университета рассказали о том, что многие устройства Интернета вещей (IoT) все еще разрабатываются и программируются без учета требований безопасности. Они выбрали случайный набор устройств IoT и посмотрели, какие данные и как передаются онлайн. Среди этих устройств:

  • Домашний термостат.
  • Камера наблюдения.
  • Концентратор IoT, служивший самостоятельным шлюзом между Интернетом, дверным датчиком и интеллектуальным коммутатором (как правило, интеллектуальный коммутатор включает-выключает питание, управлять ним можно по Интернету).

Студенты не пытались декомпилировать встроенное микропрограммное обеспечение, а только наблюдали за поведением устройств. Вот что они обнаружили:

  • Передаваемый кадр использовал незашифрованный трафик HTTP, включая идентификацию устройства и адрес электронной почты.
  • Камера видеонаблюдения передавала изображение в открытом виде по HTTP.
  • Динамик передавал потоком незашифрованные данные.
  • Термостат использовал HTTPS, но входящие сообщения прогноза погоды включали почтовый индекс в виде простого текста.
  • Комутатор везде использовал HTTPS.

Хорошие новости: два устройства все же использовали шифрование трафика.

Автор статьи — Microsoft Security Trusted Advisor, MVP Consumer Security.

Версия для печати