Специалист компании Duo Security Марк Лавлесс (Mark Loveless) опубликовал отчет, посвященный уязвимостям в так называемых «аварийных» или «тревожных» кнопках (panic button) различных производителей. Устройства, которые должны помогать пользователям защищать себя, оказалось очень легко взломать.

Простые IoT-устройства, безопасность которых проверял Лавлесс, работают очень просто. Этот небольшой гаджет нужно постоянно носить при себе (в кармане, на ключах, на поясе и так далее) , а в случае возникновения опасности, пользователь может незаметно нажать на кнопку устройства, таким образом предупредив друзей и родных о том, что у него проблемы. Такие гаджеты обычно работают через Bluetooth и соединяются со специальным приложением на смартфоне владельца. Данные о местоположении пользователя, вместе с предупреждающим сообщением, отправляются «доверенному лицу» после нажатия кнопки.

Лавлесс протестировал «тревожные кнопки» компаний Wearsafe, Revolar и ROAR. Как оказалось, все гаджеты, не считая произведенных компанией ROAR, нельзя назвать защищенными. Из-за использования Bluetooth устройства легко обнаружить даже с помощью простейших антенн и оборудования (при этом они очевидным образом определяются как индивидуальные средства защиты).

Хуже того, атакующий может спровоцировать отказ в обслуживании таких устройств, то есть осуществить DoS-атаку, в итоге отключив «аварийную» кнопку вовсе. Также гаджеты позволяют отслеживать местоположение своих владельцев и зачастую подвержены проблеме небезопасного сопряжения.

Сравнительная таблица проведенных тестов

Исследователь подчеркивает, что обе компании никак не отреагировали на сообщения Duo Security об обнаруженных уязвимостях, хотя проблемы были найдены еще в прошлом году. Журналисты издания ZDNet связались с представителями Wearsafe и Revolar самостоятельно, но тоже удостоились лишь частичного ответа. Так, представители Wearsafe поблагодарили Лавлесса за проведенное тестирование через журналистов, но не сообщили никакой информации о выходе патчей. В свою очередь, представители Revolar заявили, что работают над исправлениями, но не назвали никаких конкретных сроков.

 

4 комментария

  1. john_

    31.01.2018 at 14:31

    Нахер это все. Больше проблем, чем пользы.

  2. Башкир

    31.01.2018 at 19:05

    Вряд ли наркоша или гопник будет дэдосить твою тревожную кнопку, чтобы отключить. Как понимаю автор хотел показать, что нынче большинство производителей мало уделяют внимания на безопасность, в эпоху IoT, а еще более на исправление обнаруженных проблем. Кратко «производителю чхать на вас, лишь бы продать». Но тем не менее, ROAR (Афина) единственные, кто подошел грамотно к этому вопросу, и безопасно и допфункция с сиреной в 90 дБ имеется.
    Мне этот парень нравится, ирония 90 лвл.
    «Mark Loveless
    Senior Security Researcher
    Mark Loveless is a Duo Labs researcher who also goes by the name Simple Nomad on the interwebs. He is not overly paranoid in spite of the fact that evil alien robots are stealing his luggage when he travels.»

    • Themistocles

      31.01.2018 at 22:30

      не знаю какой смысл в сигнализации на 90 дБ. перцовый баллончик значительно эффективнее

      • Башкир

        01.02.2018 at 17:42

        Если рассматривать в таком ключе, что эффективнее, то лучше и вовсе ПМ или дезерт игл иметь =) Звук сигналки действует как психооружие,что-то на уровне «Атас пацаны,мусора!»

Оставить мнение