HP выявила серьезные уязвимости в домашних системах безопасности

HP выявила серьезные уязвимости в домашних системах безопасности

HP опубликовала результаты исследования, демонстрирующего, что наблюдение за домами, оснащенными системами безопасности с подключением к Интернету, могут осуществлять не только их владельцы, но и злоумышленники. Все без исключения проанализированные устройства, используемые для обеспечения безопасности домов, имеют серьезные уязвимости, в том числе связанные с защитой паролем, шифрованием и проверкой подлинности.

Домашние средства мониторинга, такие как видеокамеры и системы сигнализации, завоевали популярность на волне бума Интернета вещей (IoT), в первую очередь благодаря их исключительному удобству. По данным Gartner, в 2015 году количество устройств, подключенных к Интернету вещей, составит 4,9 млрд, а к 2020 году оно достигнет 25 млрд(1).Это исследование показывает, насколько плохо с точки зрения безопасности подготовлен рынок к ожидаемым темпам роста IoT.

«Оставляя в стороне удобство и доступность подключенных к Интернету устройств, нужно отметить, что они могут сделать наши дома и семьи уязвимыми, — говорит Джейсон Шмитт (Jason Schmitt), вице-президент и  руководитель подразделения по продуктам Fortify подразделения Enterprise Security Products компании HP. — Учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о самых простых мерах защиты, а производители — о том, что они в, конечном итоге, несут ответственность за безопасность своих пользователей».

HP использовала приложение HP Fortify on Demand для доступа к 10 домашним IoT-устройствам обеспечения безопасности, а также к их облачным и мобильным компонентам, и обнаружила, что ни одна из этих систем не требует использования надежного пароля и не предлагает двухфакторной проверки подлинности.

В числе наиболее распространенных и легко решаемых проблем с безопасностью оказались следующие.

  • Недостаточно надежная проверка подлинности: все системы с их облачными и мобильными интерфейсами не требовали установки паролей достаточной сложности и длины; для большинства было достаточно буквенно-цифрового пароля из шести символов. Ни одна из систем не предлагала возможности заблокировать учетную запись после определенного числа неудачных попыток ввода пароля.
  • Незащищенные интерфейсы: все протестированные облачные веб-интерфейсы имеют проблемы безопасности, позволяющие потенциальному злоумышленнику получить доступ к учетной записи с помощью инструментов, использующих три уязвимости приложения: возможность последовательного перебора значений, слабая политика паролей и отсутствие блокировки учетной записи. В пяти из десяти протестированных систем были выявлены проблемы в интерфейсе мобильного приложения, подвергающие пользователей аналогичным рискам.
  • Проблемы конфиденциальности: все системы собирали некоторые виды персональной информации, такие как имя, адрес, дата рождения, номер телефона и даже номера кредитных карт. Незащищенность этой персональной информации вызывает озабоченность, поскольку создает угрозу кражи учетных данных во всех системах. Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через мобильные приложения и облачные веб-интерфейсы. Конфиденциальность видеоизображений внутренних помещений дома находится под большим вопросом.
  • Отсутствие шифрования при передаче данных: хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак (например, для атаки POODLE). Правильная настройка шифрования на транспортном уровне особенно важна, поскольку безопасность является основной функцией этих систем.

Пока производители IoT-продуктов работают над внедрением столь необходимых средств защиты, потребителям настоятельно рекомендуется учитывать все эти аспекты при выборе системы мониторинга для своего дома. Развертывание безопасных домашних сетей до подключения небезопасных IoT-устройств, использование сложных паролей, блокировки учетных записей и двухфакторной проверки подлинности, — вот лишь некоторые меры, доступные пользователям Интернета вещей.

Эта работа является продолжением исследования Интернета вещей, проведенного HP в 2014 году, в котором была рассмотрена безопасность десяти наиболее распространенных IoT-устройств. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru