«Умные» часы пока плохо защищены от кибератак

Как выявило исследование, проведенное компанией Hewlett–Packard, имеются серьезные проблемы безопасности в современных носимых устройствах.По результатам исследования, эти устройства представляют собой плохо защищенный объект для кибератак.

По мере развития Интернета популярность «умных» часов будет расти параллельно с их возможностями и удобством использования. Они будут становиться хранилищем для всё более конфиденциальной информации, а за счет использования мобильных приложений с их помощью можно будет открывать автомобили и двери жилых домов.

В то время как все устройства реализуют шифрование SSL/TLS, 40% из них по–прежнему открыты для известных уязвимостей, таких как POODLE, или до сих пор используют SSL v2. В общей сложности, 30% устройств используют облачные веб–интерфейсы, при этом хакеры могут получить данные учетных записей пользователей с помощью сервиса сброса пароля.

Кроме того, семь из десяти устройств имеют проблемы с обновлением встроенного программного обеспечения. Часы часто не получают зашифрованные обновления программного обеспечения, и хотя ряд обновлений подписаны, чтобы предотвратить установку вредоносного кода, недостаточное шифрование позволяет загрузку и просмотр файлов из разных источников.

Проведенные эксперименты доказали: безопасность 100% протестированных умных часов под угрозой. В числе наиболее распространенных и легко решаемых проблем также оказались следующие:

• Ненадежная аутентификация/авторизация пользователей. Подключение к сети всех протестированных «умных» часов осуществлялось без двухфакторной аутентификации и без блокировки учетной записи после 3–5 неудачных попыток ввести пароль.
• Незащищенное программное и микропрограммное обеспечение. Для защиты от установки зараженного микропрограммного обеспечения многие обновления были снабжены цифровой подписью, так что установить опасные обновления было бы невозможно – однако отсутствие шифрования делает возможным загрузку и анализ файлов злоумышленниками.
• Проблемы конфиденциальности. Все «умные» часы собирают персональную информацию о владельце: чаще всего имя, адрес, дату рождения, пол, массу тела и другую информацию о здоровье. Их безопасность оказывается под угрозой с учетом как возможности взлома путем перебора учетных записей, так и использования в ряде продуктов легко раскрываемых паролей.

«Умные часы входят в нашу жизнь, но возможности, которые они открывают пользователю, могут обернуться новыми угрозами для конфиденциальной информации, — комментирует Джейсон Шмитт, гендиректор HP Security, Fortify. — Чем их станет больше, тем привлекательнее эти устройства будут для желающих злоупотребить их возможностями. Поэтому так важно уже сейчас проявлять осторожность при передаче персональных данных и подключении умных часов к корпоративной сети».