Новости

В умных камерах, розетках и лампочках нашли серьезные бреши

02.02.2019

Специалисты компаний Dark Cubed и Pepper IoT провели анализ 12 устройств Интернета вещей и пришли к выводу, что многие из них имеют проблемы, связанные с безопасностью. В частности, аналитики отметили слабое шифрование данных, вшитые пароли по умолчанию и требование избыточных разрешений Android-приложениями для управления гаджетами. Эксперты не связывались с производителями уязвимых устройств до публикации и взяли на себя ответственность за достоверность обнародованных сведений.

 

 

 

Исследование затронуло умные розетки, IP-камеры, системы безопасности и другое оборудование следующих производителей:

  • • iHome
  • • Merkury
  • • Momentum
  • • Oco
  • • Practecol
  • • TP-Link
  • • Vivitar
  • • Wyze
  • • Zmodo

 

Специалисты проанализировали пакеты данных, которые получают и передают IoT-устройства, изучили их политику конфиденциальности и провели исследование Android-приложений для управления приборами.

 

Как утверждают эксперты, некоторые из изученных устройств не полностью шифруют передаваемые данные либо имеют ненадежную реализацию такой защиты. Например, IoT-решения Merkury не кодируют сетевой трафик, открывая для злоумышленников сведения о передаваемых запросах, а также имена и пароли, необходимые для доступа к ним.

 

Эксперты отмечают, что камеры Guardzilla и Zmodo не выполняют проверку действительности сертификата шифрования для защищенных соединений. А устройства Guardzilla, кроме того, содержат вшитые пароли по умолчанию. Об этой же уязвимости в конце декабря прошлого года сообщали специалисты проекта 0DayAllDay. Как заявили аналитики, они передали производителю систем видеонаблюдения информацию о проблеме, но не получили ответа.

 

Исследователи из Dark Cubed и Pepper IoT указывают, что шесть из девяти вендоров выпускают IoT-устройства, чувствительные к атаке «человек посередине». По словам ИБ-специалистов, у них не возникло вопросов лишь к безопасности IP-камеры Momentum Axel, а также умных розеток iHome Smart Outlet и TP-Link Kasa Smart Outlet.

 

Особое внимание эксперты обратили на избыточные разрешения, запрашиваемые мобильными приложениями для управления устройствами. Так, Android-программа светильника Merkury требует доступа к геолокации, записи звука, а также операциям с файлами в памяти телефона. Кроме того, исследователи обнаружили, что код приложения содержит вшитые ссылки на 40 сторонних веб-сайтов, таких как Alibaba, Taobao, QQ, Facebook, Twitter и Weibo.

 

«Приложение светильника Merkury требует от пользователя доступа к его местоположению и отправляет зашифрованную информацию на серверы в Китае», — отметил генеральный директор Dark Cubed Винс Крислер (Vince Crisler).

 

В случае с программой для управления камерой Zmodo исследователи смогли получить доступ к конфиденциальным данным пользователя устройства, включая адрес электронной почты, фотографию, дату рождения и номер телефона.

 

«Хотя производители способны самостоятельно исправить свои продукты и устранить многие из имеющихся в них недостатков, они начинают действовать лишь тогда, когда ИБ-специалисты обнаруживают бреши, — указывают эксперты Dark Cubed и Pepper IoT. — Однако такой реактивный подход не работает, поскольку меры безопасности должны быть упреждающими».

Во Франции оштрафовали Google на €50 млн

26.01.2019

Некорректное информирование пользователей при получении их согласия на обработку персональных данных стало причиной обвинений в сторону корпорации Google. Независимая административная организация Франции CNIL (Commission nationale de l'informatique et des libertés) приняла решение о взыскании штрафа в размере €50 млн. Свою позицию организация опубликовала на официальном сайте.

По мнению представителей CNIL, пользователи Google не достаточно информированы о том, как собирают, обрабатывают и хранят и персональные данные. В частности, вопрос о том, кто будет иметь доступ к этой информации, также остается открытым.

Дополнительный фактор, усиливающий обвинения – невозможность получить всю необходимую информацию об условиях обработки личных данных из одного документа.
Инициатором штрафа стали активисты из группы None of Your Business, которые на днях также выступили с подобными обвинениями в сторону YouTube, Netflix, Amazon, Apple, Spotify и Soundcloud.

Роскомнадзор предупредил Google, что может заблокировать доступ к поисковику в России

08.01.2019

Заместитель главы Роскомнадзора Вадим Субботин рассказал изданию «Интерфакс», что в российские законы могут внести изменения, которые позволят РКН заблокировать доступ к поисковой системе Google. Это произойдёт, если корпорация не пойдёт навстречу РКН.

В чём причина конфликта?
26 сентября 2018 года вступил в силу закон, который обязывает поисковики подключиться к ФГИС и фильтровать выдачу в соответствии с реестром запрещённых сайтов. Роскомнадзор уведомил об этом Google, Mail.Ru, «Яндекс» и «Спутник». В течение месяца требование не выполнила только Google.

В конце октября Роскомнадзор пригрозил Google штрафом, спустя месяц возбудил против компании административное дело, а 11 декабря оштрафовал на 500 000 рублей. Днём позже замглавы РКН заявил, что до конца года ведомство проведёт ещё одну проверку, которая может закончиться уже максимальным штрафом — 700 000 рублей. А если Google и тогда не пойдёт навстречу, РКН будет рассматривать внесение изменений в закон для блокировки доступа к поисковому сервису компании.

"Действующий закон сейчас не предполагает блокировку, он предполагает административный штраф. Но вы понимаете, что если мы зайдем в тупик, то на законодательном уровне у нас есть все возможности, чтобы этот вопрос урегулировать. Если государство видит, что какая-то иностранная компания не соблюдает российское законодательство последовательно и системно, то государство вносит изменения в закон, и за неисполнение российских законов возможно более суровое наказание — такое, как блокировка." — Вадим Субботин, заместитель главы Роскомнадзора

Что надо блокировать?
Субботин уточнил, что Google просят блокировать только противоправные ресурсы. В их числе сайты, пропагандирующие терроризм, порнографию с участием несовершеннолетних и так далее.

"У нас вся интернет-отрасль регулируется этим законом [149 Федеральный закон «Об информации»]. Мы же ведём речь о детской порнографии, суицидах, наркотиках, азартных играх, продаже алкоголя. Мы говорим об экстремизме и терроризме. Именно эта информация у нас запрещена. И именно её мы хотим, чтобы Google фильтровал." — Вадим Субботин, заместитель главы Роскомнадзора

При этом представитель ведомства заявил, что надеется на конструктивный диалог и рассчитывает, что не придётся прибегать к столь радикальным мерам.

Вирус массово поражает телефоны на базе Android

19.12.2018

Этот вирус получил название Andr/Clickr-ad. Миллионы ничего не подозревающих пользователей скачали его из официального магазина Google Play вместе с другими, безобидными приложениями. Оказавшись внутри системы, зловред начинал работать как кликер, т.е. инициировал большое количество переходов по ссылкам, что приводило к быстрой разрядке батареи смартфона.

Если кто-то из пользователей столкнулся с подобным «симптомом», ИБ-специалисты рекомендуют проверить свой гаджет с помощью антивирусов, чтобы выявить и удалить вирус.

В 33 странах мира мобильный Интернет уже быстрее Wi-Fi

04.12.2018

Согласно исследованию компании OpenSignal, 33 страны имеют скорость мобильного интернета в среднем выше, чем скорость Wi-Fi. Самый большой разрыв между скоростью подключений зафиксирован в Австралии, пишет Mashable.

В этой стране средняя скорость Wi-Fi составляет 21,6 Мбит/с, а скорость мобильной сети - 34,6 Мбит/с. Также в пятерку стран с мобильными сетями, которые намного быстрее, чем Wi-Fi, вошли Ливан, Катар, Оман и Греция.

В то же время, в таких местах, как США и Гонконг, средняя скорость WiFi затмевает мобильные сети. Подобная ситуация, пусть и не столь выражено, зафиксирована еще в 40 странах. Это может вскоре изменится, так как новое поколение мобильной сети 5G начнет распространяться уже в 2019 году.

Также исследователи нашли четыре страны, где нет существенных различий между скоростью WiFi и мобильной сетью: Венгрия, Бангладеш, Бельгия и Норвегия. Отмечается, что данные были собраны с почти 7,8 миллиона различных устройств в 80 странах.

В OpenSignal заявили, что результаты исследования показывают, что мобильные операторы и производители смартфонов должны переоценить зависимость от Wi-Fi.

Специалисты OpenSignal сообщили, что в будущем ситуация может еще сильнее измениться с внедрением стандарта 5G. До конца 2018 года его планируют запустить в 20 городах США, а в 2019 году выйдут первые флагманские смартфоны с поддержкой нового стандарта передачи данных.

Страницы