В ноябре 2015 г. с серверов компании VTech произошла утечка данных, затрагивающая 5 млн учетных записей пользователей высокотехнологичных устройств этой компании. VTech разрабатывает «умные» игрушки, радио– и видеоняни, электронные обучающие игрушки, а также беспроводные телефоны, осветительное оборудование и аудиоустройства. Среди скомпрометированных данных оказались не только логины, пароли и IP-адреса, сведения о детях (об их имени, поле и дате рождения), но и 190 Гб фотографий с десятками тысяч изображений детей, сделанных IoT-устройствами VTech по всему миру[1169].
Особенно опасными стоит считать IoT-устройства, допускающие определение местонахождения владельца. В первую очередь к таким девайсам можно отнести «умные» часы, которые родители приобретают своим детям для экстренной связи с ними, определения их местонахождения и подслушивания разговоров их приятелей. К примеру, в 2015 г. в устройствах hereO для самых маленьких были выявлены уязвимости, одна из которых касалась API веб-сервиса, с помощью которого родитель взаимодействовал с «умными» часами ребенка. Из-за бреши в системе защиты злоумышленник мог внедриться в семейный круг и следить в реальном времени за местонахождением и перемещениями чужого ребенка, а также за смартфонами других участников семьи. Уязвимость была закрыта лишь спустя несколько месяцев[1170]. Тем не менее аналогичные опасности угрожают и другим моделям «умных» часов, особенно произведенным малоизвестными китайскими компаниями.
КЕЙС В 2015 г. ИБ-специалисту из Citrix Рахулу Саси удалось обнаружить и эксплуатировать уязвимость в программном обеспечении Linux для платформы ARM, используемом для управления квадрокоптером Parrot AR Drone 2.0, и перехватить управление им прямо в полете, переключив радиосоединение и запустив вирус. Потенциально таким образом можно создавать ботнет-сети из квадрокоптеров, а также перехватывать видеоизображение с камер, которыми оборудованы беспилотные летательные аппараты[1171].
«Взрослые» гаджеты
Регулярно выявляются уязвимости в аппаратном и программном обеспечении спортивных IoT-девайсов, таких как фитнес-браслеты, и даже «взрослые игрушки». Причем в некоторых случаях нарушения конфиденциальности достигают серьезных масштабов. Так, компания Strava, создав в 2017 г. интерактивную карту[1172] использования фитнес-гаджетов и приложений, выявила расположение военных баз США, России и других стран, используя среди прочих данные с трекеров, применяемых военнослужащими. Особенно это было заметно на картах стран Африки и Ближнего Востока по следам от трекеров, располагающихся за сотни километров от населенных пунктов[1173]. Спустя год, в 2018 г., «прославилось» похожее приложение – Polar Flow. Оно раскрыло не только метки на карте, но и некоторые медицинские показатели людей, установивших эту программу; их маршруты; даты и время, когда они выполняли упражнения, и их длительность, а также координаты мест жительства и работы пользователей (как правило, люди включали фитнес-трекеры при выходе из дома, отображая метку на карте)[1174].
Кроме того, даже если данные, передаваемые IoT-девайсом, шифруются, можно выявить некоторые подробности взаимодействия владельца с гаджетом, проанализировав паттерны трафика. Выявляя характерные особенности, можно определить, спит ли владелец трекера Sense; узнать о включении и выключении устройств с помощью электрических выключателей и розеток Wemo; выяснить, когда пользователь говорит со смарт-колонкой Amazon Echo, и т. п.[1175]
Если говорить о товарах категории «18+», от утечек данных не защищены даже вибраторы, например We-Vibe 4 Plus. Это устройство через Bluetooth ежеминутно передает на смартфон (и далее – на сервер разработчика) сведения об использовании: о включении и выключении устройства, режиме работы и температуре (позволяя таким образом следить за использованием девайса в реальном времени)[1176]. А вибратор Siime Eye американской компании Svakom, оснащенный встроенной камерой, в режиме реального времени передает изображение с видеокамеры, расположенной на его кончике, на другое устройство через Wi-Fi-сеть. При этом устройство работает как точка доступа Wi-Fi со стандартным (без возможности изменения пользователем) именем сети для всех устройств: Siime Eye. Для защиты доступа используется дефолтный пароль 88888888, поэтому злоумышленник, находящийся в зоне доступа сигнала, может установить мобильное приложение Siime Eye, ввести учетные данные и подключиться к видеокамере на вибраторе (и просмотреть сделанные ранее видеозаписи и изображения). Кроме того, панель управления устройством доступна в сети Siime Eye по адресу 192.168.1.1:80 с логином admin и без пароля – с настройками, стандартными для всех устройств линейки. Также возможен и удаленный доступ к устройству из Сети после активации порта Telnet и с помощью неизменного root-аккаунта. Внеся изменения в его прошивку (которая изначально предназначалась для квадрокоптеров, судя по функциям отправки изображений на электронную почту и в Skype), злоумышленник может изменить функциональность устройства таким образом, чтобы отснятый контент автоматически отсылался на сторонний сервер – например, для трансляций в даркнете[1177].
В качестве третьего примера можно привести продукцию гонконгского производителя Lovense, вибраторы которого из-за бага в программном коде при использовании записывали все окружающие звуки и передавали записи на связанное с устройством мобильное приложение[1178]. А в 2021 г. стало известно об уязвимости мужских поясов верности Cellmate производства китайской компании Qiui. Проблема устройств заключалась в возможности несанкционированного доступа к API, который используется для связи между гаджетом и связанным с ним мобильным приложением. Хакеры могли не только удаленно управлять поясами, но и получать доступ к информации о жертве, включая сведения о местоположении. Позднее хакеры стали блокировать их устройства и требовать у жертв за разблокировку 0,02 биткоина (около 53 000 рублей на момент написания книги)[1179].
КЕЙС В 2019 г. специалисты компании Avast выяснили, что свыше 600 000 GPS-трекеров, использующихся для регистрации местоположения детей, пожилых людей, домашних животных и т. п., защищены дефолтным паролем «123456». Получив доступ к таким устройствам, злоумышленники могут подслушать звуки, раздающиеся около владельца трекера; изменить данные о геопозиции трекера, а также узнать телефонный номер SIM-карты, которая используется в трекере. Хотя пользователи могут изменять пароль для доступа к трекеру на свой, более надежный, свыше 600 000 владельцев проигнорировали эту настройку[1180].
С фитнес-браслетов и «умных» часов, как и с прочих IoT-гаджетов и связанных с ними приложений собираются статистические данные об использовании, формируя миллионы профилей с предпочтениями каждого владельца. Эту информацию разработчики девайсов могут продавать (и продают[1181]) сторонним компаниям, и не только маркетинговым, но, к примеру, страховым, чтобы те могли оценить состояние здоровья потенциального клиента и риск возникновения у него каких-либо заболеваний – а это может влиять на стоимость страховки[1182].
Защита IoT-устройств
Очевидно, самый важный с точки зрения безопасности вопрос при использовании IoT-устройств: так ли необходимо, чтобы приобретаемое устройство имело доступ к интернету? И решить его надо перед покупкой. Если необходимости нет – вероятно, существует более безопасное устройство аналогичного назначения, не имеющее IoT-функций (зачем переплачивать за них, если они не нужны?), либо девайс можно использовать без подключения к Сети. Так, большинство современных телевизоров оборудованы смарт-функциями, предусматривающими подключение к интернету. Если вы планируете смотреть только кабельные каналы и хранящиеся на USB-накопителе или в медиацентре видеофайлы – стоит подключать телевизор к интернету только для обновления прошивки. Так вы избавитесь от лишней нагрузки на домашнюю сеть и заодно обезопасите себя и устройство (например, от вовлечения в ботнет-сеть).
КЕЙС В декабре 2020 г. в результате кибератаки на серверы провайдеров сотовой связи, обеспечивающие работу коммуникационных сервисов терминалов PickPoint, 2732 постамата открылись, предоставив свое содержимое всем желающим. Восстанавливать работу каждого постамата инженерам компании пришлось лично, выезжая на каждый объект. Несмотря на оперативную реакцию компании PickPoint, некоторые посылки были похищены[1183],[1184].
Перед покупкой рекомендуется поискать в интернете информацию о том, насколько выбранное устройство безопасно, о реакции производителя на обнаруженные в нем уязвимости (оперативно ли они выпускают патчи безопасности). Также стоит выяснить, есть ли возможность отключать передачу статистических данных, менять настройки безопасности (логин/пароль, настройки root-аккаунта) и т. п.
Если устройство уже куплено, обезопасить его от несанкционированного доступа, а себя – от утечек персональных данных можно следующим образом: