Набирающие сегодня популярность «умные» часы представляют собой новый и пока плохо защищенный объект для кибератак. Проведенные HP Fortify эксперименты доказали, что безопасность 100% протестированных устройств под угрозой. В числе обнаруженных уязвимостей — недостаточно надежная аутентификация, отсутствие шифрования при передаче данных и проблемы конфиденциальности.
«Умные» часы входят в нашу жизнь, но возможности, которые они открывают пользователю, могут обернуться новыми угрозами для конфиденциальной информации, — сказал Джейсон Шмитт, генеральный директор HP Security, Fortify. — Чем их станет больше, тем привлекательнее эти устройства будут для желающих злоупотребить их возможностями. Поэтому так важно уже сейчас проявлять осторожность при передаче персональных данных и подключении «умных» часов к корпоративной сети».
Эксперты НР выразили сомнение в готовности «умных» часов к безопасному хранению и защите данных и выполнению задач, для которых они созданы. При помощи программного решения HP Fortify on Demand сотрудники получили доступ к 10 «умным» часам, а также к их облакам и мобильным приложениям на платформах Android и iOS. В процессе был выявлен целый ряд проблем безопасности. В числе наиболее распространенных и легко решаемых проблем оказалась ненадежная аутентификация/авторизация пользователей. Подключение к сети всех протестированных умных часов осуществлялось без двухфакторной аутентификации и без блокировки учетной записи после 3-5 неудачных попыток ввести пароль. Трое из десяти часов были уязвимы для взлома и сбора учетных записей. Это значит, что за счет слабой политики паролей и отсутствия блокировки учетной записи хакер мог получить доступ к устройству и данным путем перебора пользователей.
Среди других выводов можно назвать следующее: шифрование при передаче данных обязательно, учитывая, что персональная информация в это время переносится в различные местоположения в облаке. Хотя 100% протестированных продуктов использовали шифрование с помощью SSL/TLS, 40% соединений с облаком все еще уязвимы для атак типа POODLE, допускают применение ненадежного шифрования или до сих пор пользуются SSL v2.
В 30% проверенных «умных» часов применены облачные веб-интерфейсы — все они подвержены опасности взлома перебором учетных записей. У 7 из 10 часов обнаружены проблемы с защитой микропрограммных обновлений: они передавались без шифрования, и сами файлы не были зашифрованы. Впрочем, для защиты от установки зараженного микропрограммного обеспечения многие обновления были снабжены цифровой подписью, так что установить опасные обновления было бы невозможно, однако отсутствие шифрования делает возможным загрузку и анализ файлов злоумышленниками.
Все «умные» часы собирают персональную информацию о владельце: чаще всего имя, адрес, дату рождения, пол, массу тела, ЧСС и другую информацию о здоровье. Их безопасность оказывается под угрозой с учетом как возможности взлома путем перебора учетных записей, так и использования в ряде продуктов легко раскрываемых паролей.