Специалист компании Duo Security Марк Лавлесс (Mark Loveless) опубликовал отчет, посвященный уязвимостям в так называемых «аварийных» или «тревожных» кнопках (panic button) различных производителей. Устройства, которые должны помогать пользователям защищать себя, оказалось очень легко взломать.
Простые IoT-устройства, безопасность которых проверял Лавлесс, работают очень просто. Этот небольшой гаджет нужно постоянно носить при себе (в кармане, на ключах, на поясе и так далее) , а в случае возникновения опасности, пользователь может незаметно нажать на кнопку устройства, таким образом предупредив друзей и родных о том, что у него проблемы. Такие гаджеты обычно работают через Bluetooth и соединяются со специальным приложением на смартфоне владельца. Данные о местоположении пользователя, вместе с предупреждающим сообщением, отправляются «доверенному лицу» после нажатия кнопки.
Лавлесс протестировал «тревожные кнопки» компаний Wearsafe, Revolar и ROAR. Как оказалось, все гаджеты, не считая произведенных компанией ROAR, нельзя назвать защищенными. Из-за использования Bluetooth устройства легко обнаружить даже с помощью простейших антенн и оборудования (при этом они очевидным образом определяются как индивидуальные средства защиты).
Хуже того, атакующий может спровоцировать отказ в обслуживании таких устройств, то есть осуществить DoS-атаку, в итоге отключив «аварийную» кнопку вовсе. Также гаджеты позволяют отслеживать местоположение своих владельцев и зачастую подвержены проблеме небезопасного сопряжения.
Исследователь подчеркивает, что обе компании никак не отреагировали на сообщения Duo Security об обнаруженных уязвимостях, хотя проблемы были найдены еще в прошлом году. Журналисты издания ZDNet связались с представителями Wearsafe и Revolar самостоятельно, но тоже удостоились лишь частичного ответа. Так, представители Wearsafe поблагодарили Лавлесса за проведенное тестирование через журналистов, но не сообщили никакой информации о выходе патчей. В свою очередь, представители Revolar заявили, что работают над исправлениями, но не назвали никаких конкретных сроков.
Читайте также
Последние новости