Почти 100% «умных» систем домашней безопасности не защищены от хакеров

Если вы решили защитить свой дом с помощью одной из новейших систем домашней безопасности, относящейся к классу «умных» и подключенных к Интернет решений, то вполне возможно, что вы станете даже менее защищенным и более уязвимым, чем раньше. Проведенные в последнее время разными компаниями тесты компьютерной безопасности таких систем показали, что несмотря на всю «разумность» таких устройств, практически все они не защищены от взлома хакерами.

Современные подключенные к Интернет системы домашней безопасности, как правило, соединяются через облако с мобильным устройством или веб-браузером пользователя, позволяя таким образом контролировать их работу. Подобная система состоит из множества различных устройств, таких как детекторы движения, контактные датчики, видеокамеры, «умные» замки, датчики утечки и присутствия. И, хотя все они предназначены для обеспечения домашней безопасности, последние исследования показали, что эти устройства имеют серьезные уязвимости, из-за чего возможность осуществлять мониторинг состояния дома и его окружения может иметь не только его владелец. Основная причина недостаточной защищенности подобных устройств — это отсутствие установленных стандартов для защиты «умных» домашних систем.

Недавно компания HP опубликовала отчет исследования параметров защищенности домашних охранных систем на примере 10 самых популярных систем безопасности для т.н. «умного подключенного дома». Специалисты компании смогли достаточно легко взломать все десять систем, воспользовавшись наличием целого ряда уязвимостей (слабая политика установки паролей, отсутствие блокировки аккаунтов, легко подбираемые имена пользователей), и удаленно собирать информацию о доме, включая информацию с видеокамер.

Исследователи нашли «пугающе большое количество проблем, связанных с идентификацией и авторизацией, а также с работой мобильных и облачных веб-интерфейсов». Что касается недостаточной защищенной аутентификации и авторизации, то:

  • 100% систем позволяли использовать простые пароли;
  • 100% систем нуждается в механизме блокировки аккаунта, который может предотвращать автоматизированные атаки;
  • 100% систем не защищены от подбора аккаунта, позволяя преступникам угадать данные аутентификации и получить доступ;
  • 4 из 7 систем, которые имеют камеры видеонаблюдения, предоставляют пользователю возможность предоставить видеодоступ дополнительным пользователям, что еще больше усугубляет проблему с подбором аккаунта;
  • 2 системы предоставляли возможность передачи видео вообще без аутентификации;
  • Только одна система требовала двухфакторную аутентификацию.

Очень важно для обеспечения защиты использовать правильно сконфигурированное шифрование передачи данных, но, по данным исследователей HP, в половине из протестированных систем конфигурация осуществлена неправильно, либо в них неправильно внедрена SSL/TLS. При этом 70% систем позволяли осуществлять неограниченную передачу данных аккаунта через незащищенный облачный интерфейс. Одна система обновляет ПО через FTP, что позволяет преступникам перехватить данные аккаунта и получить доступ на сервер обновлений с возможностью записи на него. Три из 10 систем позволяют пользователю при загрузке апгрейда решать, обновлять систему или нет.