HP выявила серьезные уязвимости в домашних системах безопасности
Главная » Новости

HP выявила серьезные уязвимости в домашних системах безопасности

Александр Панасенко 10 Февраля 2015 - 13:39
...

HP опубликовала результаты исследования, демонстрирующего, что наблюдение за домами, оснащенными системами безопасности с подключением к Интернету, могут осуществлять не только их владельцы, но и злоумышленники. Все без исключения проанализированные устройства, используемые для обеспечения безопасности домов, имеют серьезные уязвимости, в том числе связанные с защитой паролем, шифрованием и проверкой подлинности.

Домашние средства мониторинга, такие как видеокамеры и системы сигнализации, завоевали популярность на волне бума Интернета вещей (IoT), в первую очередь благодаря их исключительному удобству. По данным Gartner, в 2015 году количество устройств, подключенных к Интернету вещей, составит 4,9 млрд, а к 2020 году оно достигнет 25 млрд(1).Это исследование показывает, насколько плохо с точки зрения безопасности подготовлен рынок к ожидаемым темпам роста IoT.

«Оставляя в стороне удобство и доступность подключенных к Интернету устройств, нужно отметить, что они могут сделать наши дома и семьи уязвимыми, — говорит Джейсон Шмитт (Jason Schmitt), вице-президент и  руководитель подразделения по продуктам Fortify подразделения Enterprise Security Products компании HP. — Учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о самых простых мерах защиты, а производители — о том, что они в, конечном итоге, несут ответственность за безопасность своих пользователей».

HP использовала приложение HP Fortify on Demand для доступа к 10 домашним IoT-устройствам обеспечения безопасности, а также к их облачным и мобильным компонентам, и обнаружила, что ни одна из этих систем не требует использования надежного пароля и не предлагает двухфакторной проверки подлинности.

В числе наиболее распространенных и легко решаемых проблем с безопасностью оказались следующие.

  • Недостаточно надежная проверка подлинности: все системы с их облачными и мобильными интерфейсами не требовали установки паролей достаточной сложности и длины; для большинства было достаточно буквенно-цифрового пароля из шести символов. Ни одна из систем не предлагала возможности заблокировать учетную запись после определенного числа неудачных попыток ввода пароля.
  • Незащищенные интерфейсы: все протестированные облачные веб-интерфейсы имеют проблемы безопасности, позволяющие потенциальному злоумышленнику получить доступ к учетной записи с помощью инструментов, использующих три уязвимости приложения: возможность последовательного перебора значений, слабая политика паролей и отсутствие блокировки учетной записи. В пяти из десяти протестированных систем были выявлены проблемы в интерфейсе мобильного приложения, подвергающие пользователей аналогичным рискам.
  • Проблемы конфиденциальности: все системы собирали некоторые виды персональной информации, такие как имя, адрес, дата рождения, номер телефона и даже номера кредитных карт. Незащищенность этой персональной информации вызывает озабоченность, поскольку создает угрозу кражи учетных данных во всех системах. Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через мобильные приложения и облачные веб-интерфейсы. Конфиденциальность видеоизображений внутренних помещений дома находится под большим вопросом.
  • Отсутствие шифрования при передаче данных: хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак (например, для атаки POODLE). Правильная настройка шифрования на транспортном уровне особенно важна, поскольку безопасность является основной функцией этих систем.

Пока производители IoT-продуктов работают над внедрением столь необходимых средств защиты, потребителям настоятельно рекомендуется учитывать все эти аспекты при выборе системы мониторинга для своего дома. Развертывание безопасных домашних сетей до подключения небезопасных IoT-устройств, использование сложных паролей, блокировки учетных записей и двухфакторной проверки подлинности, — вот лишь некоторые меры, доступные пользователям Интернета вещей.

Эта работа является продолжением исследования Интернета вещей, проведенного HP в 2014 году, в котором была рассмотрена безопасность десяти наиболее распространенных IoT-устройств. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число атак через WhatsApp в России выросло в шесть раз в 2025 году
Яков Шпунт 18 Апреля 2025 - 09:12
МошенничествоОнлайн-мошенничество Домашние пользователи
Число атак через WhatsApp в России выросло в шесть раз в 2025 году

По данным Координационного центра доменов .RU/.РФ, число случаев мошенничества в мессенджере WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta) увеличилось в шесть раз в первом квартале 2025 года по сравнению с аналогичным периодом прошлого года.

Согласно оценкам экспертов, опрошенных «Известиями», самыми распространёнными мошенническими схемами являются звонки от имени сотрудников правоохранительных органов или руководителей компаний, массовые рассылки с взломанных аккаунтов, а также фишинговые атаки, маскирующиеся под предложения от различных компаний.

Директор компании «Интернет-Розыск» Игорь Бедеров отметил, что цель таких атак — получить от жертвы подтверждение данных или «проверить безопасность счетов». Для повышения доверия злоумышленники активно используют утечку персональных данных.

«Если мошенники выходят на связь через сообщения, они часто отправляют фишинговые ссылки на поддельные сайты. Также они могут просить передать коды из СМС», — добавил Игорь Бедеров.

Одна из популярных схем — звонок от имени руководителя компании, который якобы просит помочь сотруднику ФСБ или МВД. Такой «сотрудник» действует крайне напористо, запугивает жертву и заставляет выполнять его указания.

«Мне сказали, что моя фамилия фигурирует в деле о незаконном выводе денег за границу от имени моей компании. Были предъявлены документы и распоряжение генерального директора. Руководитель якобы просил содействовать органам и выполнить их инструкции. Меня заставили назвать номера счетов и банковских карт, а потом — перевести средства на другие счета. Запугивание продолжалось несколько часов. К счастью, я вовремя опомнился», — рассказал москвич Михаил.

Как свидетельствуют обсуждения на форумах и в соцсетях, такие «сотрудники» обычно прекращают общение, если собеседник требует соблюдения официальных процедур, например, предъявления ордера при визите домой.

По словам представителя Координационного центра доменов .RU/.РФ Евгения Панкова, за первые месяцы 2025 года число атак на пользователей WhatsApp в России выросло в шесть раз по сравнению с аналогичным периодом прошлого года.

«У WhatsApp в России большая пользовательская база, включая наиболее уязвимые категории — детей и пожилых людей. Основными инструментами злоумышленников остаются фишинг и социальная инженерия. Они легко адаптируют сценарии под текущие интересы людей, что создаёт для них эффект “золотой лихорадки”», — пояснил Панков.

Также набирает обороты захват учётных записей. Чтобы потерять доступ к аккаунту, достаточно перейти по вредоносной ссылке. После взлома аккаунт используется для массовой рассылки сообщений с просьбами о финансовой помощи — и люди нередко на них откликаются.

По словам Игоря Бедерова, злоумышленники рассылают такие сообщения, в том числе с использованием голосовых сообщений, созданных на основе образцов реального голоса родственников или знакомых жертвы с применением дипфейк-технологий.

Широко распространены и фишинговые рассылки, ведущие на поддельные сайты, где собираются данные банковских карт. Для привлечения внимания используются обещания крупных скидок, бонусов, лотерей и выгодных инвестиций.

В преддверии отпусков активизировались рассылки с предложениями выгодного бронирования отелей и аренды жилья на курортах. При этом мошенники используют и другие каналы — социальные сети и видеохостинги.

«Мне предложили забронировать отель “Жемчужина” в Сочи на июнь со скидкой 30%. Я действительно интересовалась этим отелем и связалась через WhatsApp с якобы его сотрудниками. Меня попросили перевести 50 тыс. рублей для фиксации брони. Однако по приезде выяснилось, что бронь не была оформлена. Пришлось срочно искать другое жильё. Деньги вернуть не удалось, несмотря на обращение в полицию», — рассказала одна из жертв схемы.

«Пользователям важно соблюдать базовые правила безопасности: включить двухфакторную аутентификацию или настроить ключи доступа для защиты аккаунта, критически относиться к “щедрым” предложениям и сомнительным просьбам. Не переходите по ссылкам из подозрительных сообщений и используйте надёжное защитное решение на всех устройствах — это поможет предотвратить переход на фишинговые или мошеннические сайты», — порекомендовала контент-аналитик “Лаборатории Касперского” Татьяна Щербакова.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Фишинговая кампания с бэкдорами Merlin и Loki выявлена в России
Новость
Фишинговая кампания с бэкдорами Merlin и Loki выявлена в Рос...
Осторожно: поддельные фонды обманывают жертв трагедий и войн
Новость
Осторожно: поддельные фонды обманывают жертв трагедий и войн
За 10 лет в России интерес к теме ИБ вырос в 18 раз
Новость
За 10 лет в России интерес к теме ИБ вырос в 18 раз

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.