The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.03.2018 15:19  Анализ безопасности мобильных приложений для управления IoT-устройствами

Компания Pradeo Security изучило 100 типовых мобильных приложений для управления IoT-устройствами, такими как системы домашней автоматизации, термостаты, электрические жалюзи, механизмы дистанционного управления, умные лампочки и т.п. Ситуация с безопасностью подобных приложений оказалась плачевной:

  • В 80% протестированных приложений выявлены уязвимости, при этом в среднем фиксировалось 15 уязвимостей на приложение.
  • 15% приложений были уязвимы для проведения MiTM-атак, позволяющих захватить управление над IoT-устройством;
  • 90% приложений отправляли связанную с работой IoT-устройства информацию на внешние системы по сети. Например, 81% приложений отправляли содержимое своих файлов, 75% информацию об оборудовании (производитель, состояние заряда и т.п.), 73% информацию о мобильном устройстве (например, версию ОС), 38% содержимое временных файлов, 27% информацию о сотовой сети, 19% звуковые и видео записи, 12% данные о местоположении, 12% параметры сетевого подключения (IP, состояние Wi-Fi и т.п.), 8% идентификатор устройства (IMEI);
  • 8% приложений отправляли данные на сомнительные хосты, в том числе на те, у которых истекло время регистрации и которые были доступны для продажи.


  1. Главная ссылка к новости (http://blog.pradeo.com/iot-mob...)
  2. OpenNews: Поддельное приложение WhatsApp в Google Play установили более миллиона пользователей
  3. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  4. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  5. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  6. OpenNews: Анализ уязвимостей в Android-приложениях с открытыми сетевыми портами
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: iot, security, mobile
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 16:04, 30/03/2018 [ответить] [смотреть все]
  • +6 +/
    Вот это новость! Вообще, удивительно, что производители так называемых IoT устроиств делают закрытые проги. Они же не проги производят, а, внезапно, IoT устройства! Открытый протокол + открытая прога таки как раз расширяет рынок.
     
     
  • 2.2, ryoken, 16:14, 30/03/2018 [^] [ответить] [смотреть все]
  • +3 +/
    > Открытый протокол + открытая прога таки как раз расширяет рынок.

    Сколько читал про IoT - дыра на дыре и дырой погоняет. Вот ещё и это теперь. Все эти граждане ждут что ли большой, мягко скажем, неприятности? Чтобы потом им по рогам настучали.

     
     
  • 3.6, Аноним, 17:15, 30/03/2018 [^] [ответить] [смотреть все]
  • +1 +/
    эти граждане спешат наклепать велосипедов на формирующемся рынке 90 из них без... весь текст скрыт [показать]
     
  • 1.5, J.L., 16:53, 30/03/2018 [ответить] [смотреть все]  
  • +/
    > 19% звуковые и видео записи, 12% данные о местоположении

    я так понимаю что под lot-устройством которым планируется управлять является человек ?

     
  • 1.7, pavlinux, 17:20, 30/03/2018 [ответить] [смотреть все]  
  • +4 +/
    Завёлся какой-то один идиот, который переиначил понятие Smart Home под IoT, остальные как бобики за ним тявкают.
    IoT планировался, проектировался вообще не так, не управление пальцем со смарта чайниками и жалюзями...  
    В итоге IoT похоронили за ширпотребной ху...той для детишек и гаджетдрочеров.

    1. IoT девайс - "конечный автомат".
    2. У IoT девайса нет прямой обратной связи.
    3. IoT девайсы взаимодействуют между собой без участия человека.
    4. Взаимодействие - получение данных для коррекции свое работы.

    На пальцах: жалюзями управляет датчик освещённости, лампами - датчики движения, ик-сенсоры, звука..


    Совокупность IoT девайсов лучше тебя знает какое у тебя здоровье и что тебе нужно вообще и в данный момент!
    Но мешки с костями с этим стали не согласны (точнее не осилили алгоритмизацию), и переделали всё под тупой Remote Access к кофеварке.
    Больше все машут красными труселями на форумах о своей крутости - фанбои Xiaomi.  

     
     
  • 2.11, Crazy Alex, 17:46, 30/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Ерунда какая. Как раз у IoT-девайсов обратная связь есть, и она не ограничивается "контроллером", который данной железкой управляет, а наоборот - может идти довольно далеко (потому и "интернет"), на какой-нибудь IFTTT или Alexa или ещё куда. А то, что эти штуки дают управлять со смарта жалюзями - уже частный случай.
     
     
  • 3.12, pavlinux, 17:49, 30/03/2018 [^] [ответить] [смотреть все]  
  • –4 +/
    Да-да-да, и тебе так удобнее думать Ты хоть в Википедию загляни, там ещё остали... весь текст скрыт [показать]
     
     
  • 4.13, Crazy Alex, 22:40, 30/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Лень лезть, но чегой-то я сомневаюсь, что там будет стек из тупых устройств, неспособных затянуть нужные им данные извне.

    А зигби... Ну сюрприз - дешевизна решает. Поэтому на практике оно живёт на самопале на nRF или вайфай-чипах "всё-в-одном".

     
  • 4.16, калькулятор, 09:25, 01/04/2018 [^] [ответить] [смотреть все]  
  • +/
    Какая разница как называется? Раз уж люди называют смарт устройства интернет хренью, пусть так! Статья о том, какая там ситуация с безопасностью
     
  • 2.18, Cradle, 11:49, 05/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    1) Первое впечатление от статьи: поверхностно, не серьезно.
    2) Тестировали не девайсы, а только мобильные апликухи. Для девайсов нужны скилы и деньги. С девайсами ситуация была бы не лучше, но проблемы всетаки другие.
    3) Первоначальные идеи IoT десятилетней давности умерли изза коммерческой нереализуемости, поскольку не удалось найти компромис между минимальной ценой и достаточной вычислительной мощностью.
     
  • 1.9, Аноним, 17:43, 30/03/2018 [ответить] [смотреть все]  
  • +/
    А вы ожидали иначе ... весь текст скрыт [показать]
     
  • 1.14, Анотоним, 10:25, 31/03/2018 [ответить] [смотреть все]  
  • +/
    >8% приложений отправляли данные на сомнительные хосты, в том числе на те, у которых истекло время регистрации и которые были доступны для продажи.

    Невероятно! Как такое может быть?

     
     
  • 2.15, Старый одмин, 21:09, 31/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Настоящий производитель умер. Но его творения продолжают продавать в отсутствие поддержки.

    Олень подстреленный хрипит,
    Лань, уцелев, резвится
    Тот караулит, этот спит -
    И так весь мир вертится.

     
  • 1.17, anomymous, 11:24, 01/04/2018 [ответить] [смотреть все]  
  • +1 +/
    "Ситуация с безопасностью подобных приложений оказалась плачевной"
    Внезапно!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor