Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

НР: умные часы пока уязвимы перед кибератаками

30 Июля 2015 Количество просмотров 1500 просмотров
Специалисты HP Fortify выяснили, что 100% протестированных устройств уязвимы для атакСпециалисты HP Fortify выяснили, что 100% протестированных устройств уязвимы для атак

HP публикует результаты исследования безопасности Интернета вещей, согласно которым набирающие популярность умные часы представляют собой новый и пока плохо защищенный объект для кибератак. Проведенные подразделением HP Fortify эксперименты доказали: безопасность 100% протестированных умных часов под угрозой. В числе обнаруженных уязвимостей – недостаточно надежная аутентификация, отсутствие шифрования при передаче данных и проблемы конфиденциальности. В отчете НР приводятся практические рекомендации по совершенствованию защиты устройств и их безопасному использованию.

По мере развития Интернета вещей популярность умных часов будет расти параллельно с их возможностями и удобством использования. Они будут становиться хранилищем для всё более конфиденциальной информации, например медицинской, а за счет использования мобильных приложений с их помощью можно будет открывать автомобили и двери жилых домов.

«Умные часы входят в нашу жизнь, но возможности, которые они открывают пользователю, могут обернуться новыми угрозами для конфиденциальной информации, — комментирует Джейсон Шмитт (Jason Schmitt), генеральный директор HP Security, Fortify. — Чем их станет больше, тем привлекательнее эти устройства будут для желающих злоупотребить их возможностями. Поэтому так важно уже сейчас проявлять осторожность при передаче персональных данных и подключении умных часов к корпоративной сети».

В исследовании НР выражает сомнение в готовности умных часы к безопасному хранению и защите данных и выполнению задач, для которых они созданы. При помощи программного решения HP Fortify on Demand сотрудники получили доступ к 10 умным часам, а также к их облакам и мобильным приложениям на платформах Android и iOS. В процессе был выявлен целый ряд проблем безопасности. В числе наиболее распространенных и легко решаемых проблем оказались следующие:

• Ненадежная аутентификация/авторизация пользователей. Подключение к сети всех протестированных умных часов осуществлялось без двухфакторной аутентификации и без блокировки учетной записи после 3–5 неудачных попыток ввести пароль. Трое из десяти часов были уязвимы для взлома и сбора учетных записей. Это значит, что за счет слабой политики паролей и отсутствия блокировки учетной записи хакер мог получить доступ к устройству и данным путем перебора пользователей.
• Отсутствие шифрования при передаче данных. Шифрование при передаче данных обязательно, учитывая, что персональная информация в это время переносится в различные местоположения в облаке. Хотя 100% протестированных продуктов использовали шифрование с помощью SSL/TLS, 40% соединений с облаком все еще уязвимы для атак типа POODLE, допускают применение ненадежного шифрования или до сих пор пользуются SSL v2.
• Незащищенные интерфейсы. В 30% проверенных умных часов применены облачные веб-интерфейсы – все они подвержены опасности взлома перебором учетных записей. В рамках дополнительного исследования мобильные приложения 30% часов обнаружилась уязвимость в этой же области. Она позволяет хакерам определять действующие учетные записи с помощью обратной связи от механизмов восстановления пароля.
• Незащищенное программное и микропрограммное обеспечение. У 7 из 10 часов обнаружены проблемы с защитой микропрограммных обновлений: они передавались без шифрования, и сами файлы не были зашифрованы. Впрочем, для защиты от установки зараженного микропрограммного обеспечения многие обновления были снабжены цифровой подписью, так что установить опасные обновления было бы невозможно – однако отсутствие шифрования делает возможным загрузку и анализ файлов злоумышленниками.
• Проблемы конфиденциальности. Все умные часы собирают персональную информацию о владельце: чаще всего имя, адрес, дату рождения, пол, массу тела, ЧСС и другую информацию о здоровье. Их безопасность оказывается под угрозой с учетом как возможности взлома путем перебора учетных записей, так и использования в ряде продуктов легко раскрываемых паролей.

Пока производители продолжают работу над внедрением в умные часы необходимых средств защиты, пользователям следует проявлять осмотрительность при пользовании подобными устройствами. Без гарантии полной защиты авторизации не рекомендуется пользоваться умными часами для таких конфиденциальных действий, как открытие дверей автомобиля или дома. Неавторизованный доступ к данным можно предотвратить, пользуясь как можно более сложными для угадывания паролями и двухфакторной аутентификацией. Эти меры важны для защиты персональных данных в обычных условиях – а при пользовании умными часами на рабочем месте с подключением к корпоративным сетям они совершенно необходимы. В полном тексте отчета можно найти еще ряд рекомендаций по безопасному применению умных часов.

Для получения дополнительной информации ознакомьтесь с первым отчетом в серии исследований Интернета вещей за 2014 год. В нем исследуется безопасность десяти наиболее распространенных устройств этой категории. Также вас может заинтересовать отчет 2015 года о системах домашней безопасности – в нем рассмотрены десять примеров подобных систем.

Методология

В исследовании защищенности умных часов, проведенном HP Fortify, использовалась методология HP Fortify для тестирования Интернета вещей по требованию, объединяющая ручные и автоматические проверки. Устройства и их компоненты оценивались на основе рейтинга Топ-10 уязвимостей Интернета вещей по версии проекта OWASP и конкретных проблем, связанных с каждой категорией топ-10.

Все данные и процентные соотношения основаны на результатах для 10 умных часов, протестированных в рамках исследования. Хотя число моделей умных часов на рынке постоянно растет, совпадение результатов тестирования даже десяти из них, по мнению HP, достаточно показательно для текущего положения вещей на рынке.

Ежегодная конференция по корпоративной безопасности для пользователей (HP Protect) пройдет в Вашингтоне (округ Колумбия) с 1 по 4 сентября.
Источник:  HP
Как вам статья?
(Нет голосов)

Новости по теме

12:31, 15 Ноября 2016 Количество просмотров 467 просмотров
Яндекс.Деньги: треть бесконтактных платежей приходится на Москву
Аналитики Яндекс.Денег изучили, как пользователи платят с мобильных устройств с помощью бесконтактных технологий. Учитывались платежи в Android-приложении сервиса через NFC, а также с карт Яндекс.Денег через Apple Pay и Samsung Pay.
14:27, 14 Ноября 2016 Количество просмотров 313 просмотров
Пользователи OZON.ru получили доступ к Apple Pay
Пользователи мобильного приложения OZON.ru получили доступ к Apple Pay – легкому, безопасному и личному платежному инструменту, который полностью меняет сферу мобильных платежей, предлагая скорость и удобство. Технологическую возможность проведения платежей обеспечила группа компаний Assist, ставшая официальным сервис-провайдером Apple Pay.
16:46, 9 Ноября 2016 Количество просмотров 521 просмотр
Samsung и ВТБ24 оплатят покупки медлительных клиентов
Компания Samsung Electronics и Банк ВТБ24 в рамках продвижения сервиса мобильной оплаты Samsung Pay создали команду «суперплательщиков» и направили ее в популярные торговые центры Москвы. Встретившись с одним из «суперплательщиков», посетители столичных магазинов могут получить свою покупку бесплатно.
17:25, 1 Ноября 2016 Количество просмотров 618 просмотров
Яндекс.Деньги и ряд банков заявили о подключении Apple Pay
О возможности подключении своих карт к сервису Apple Pay объявили Яндекс.Деньги и «Тинькофф Банк». Помимо этого, с 1 ноября возможность загрузки карт в Apple Pay заработала у Альфа-Банка, Банка «Санкт-Петербург», МТС Банка, МДМ Банка, Банка «Открытие» и «Райффайзенбанка».
15:00, 21 Октября 2016 Количество просмотров 1466 просмотров
Google запустил свою мобильную платежную систему Android Pay в Гонконге
Это позволит пользователям мобильных устройств на платформе Android (не ниже версии 4.4) совершать бесконтактные платежи.

Спонсор рубрики

Анонс номера

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065