Аудит безопасности приложений IoT для мобильных устройств, доступных в официальных магазинах, выявил, что технология защиты мира IoT еще далека от совершенства. Команда Pradeo Security сделала выборку из 100 приложений для iOS и Android, разработанных для управления связанными объектами вроде нагревателей, освещения, дверных замков, детских мониторов и камер видеонаблюдения.
Результаты этого аудита показали, что каждое седьмое приложение (15%) из Google Play и App Store уязвимо для перехвата информации. В частности, эксперты отметили полную незащищенность этих программ от атак вида «человек посередине» (man-in-the-middle).
Каждое двенадцатое приложение (8%) каким-либо образом подключены к несертифицированным серверам.
«Некоторые из используемых сертификатов истекли и доступны в Сети. Любой, кто купит их, получит доступ ко всем данным», — предупреждают в Pradeo.
Команда Pradeo также обнаружила, что подавляющее большинство приложений компрометируют обрабатываемые ими данные. Вот небольшая статистика по данным, которые могут «слить» эти программы:
- Содержимое файла приложения — 81% приложений.
- Информация об оборудовании (производитель устройства, коммерческое название, состояние батареи и прочее) — 73% приложений.
- Информация об устройстве (номер версии ОС и т.п.) — 73% приложений.
- Временные файлы — 38%.
- Информация о сети (поставщик услуг, код страны и прочее) — 27%.
- Видео и аудио записи — 19%.
- Файлы, поступающие из статических данных приложения — 19%.
- Геолокация — 12%.
- Сетевая информация (IP-адрес, 2D-адрес, состояние подключения Wi-Fi) — 12%.
- Идентификаторы устройств (IMEI) — 8%.
Pradeo Security сообщила вендорам о проблемах безопасности.
