Producătorii dispozitivelor smart ignoră securitatea dispozitivelor vândute pe piață

Producătorii dispozitivelor smart ignoră securitatea dispozitivelor vândute pe piață

Cele mai multe dispozitive inteligente sunt vulnerabile la diverse atacuri informatice, cea mai frecventă cauză fiind chiar sistemul de operare care conține erori încă din faza de producție, arată datele colectate în ultima lună de soluția de securitate Bitdefender BOX.

– 95% dintre vulnerabilitățile detectate în dispozitive smart sunt legate de firmware (unele programe speciale ce asigură comanda și controlul unor aparate și dispozitive de o oarecare complexitate)

– 42% dintre toate erorile de securitate asociate firmware-ului implică restricționarea accesului la servicii, ceea ce înseamnă că dispozitivul devine nefuncțional permanent sau temporar

– Peste 9.000 dintre vulnerabilitățile identificate fuseseră deja făcute publice, ceea ce înseamnă că oricine le putea consulta pentru a scrie un cod de exploatare a acestora

Cel mai frecvent tip de atac ce exploatează o vulnerabilitate identificată de Bitdefender BOX a fost Denial of Service (DoS), care reprezintă 42% din toate erorile de securitate asociate firmware-ului. Asta înseamnă că dispozitivul devine nefuncțional permanent sau temporar.

Pe locul al doilea se găsesc erorile de tip buffer overflow (21%), vulnerabilități care, în funcție de complexitatea codului de exploatare, permit atacatorului să își aroge drepturi extinse asupra dispozitivului, să limiteze accesul utilizatorului la anumite servicii, să pătrundă în rețea sau să sustragă și să șteargă date.

În 10% dintre sistemele analizate, firmware-ul a fost susceptibil de executarea de cod de la distanță care, în momentul în care este exploatat, face ca dispozitivul să ajungă pe deplin sub controlul atacatorului. În 7% dintre cazuri, au fost identificate erori care ar putea fi utilizate pentru a obține accesul la informațiile de pe dispozitiv, ceea ce ajută răufăcătorii să identifice componente software pe care să le poată ataca sau să obțină detalii referitoare la rețeaua la care se conectează.

Prezența pe dispozitivele inteligente a unui firmware vulnerabil este frecventă în universul Internet of Things (IoT), unde, de cele mai multe ori, o soluție firmware dezvoltată de un singur producător este folosită pentru produsele din aceeași categorie a diferiților furnizori, ceea ce duce la inundarea pieței cu dispozitive vulnerabile. Peste 9.000 dintre vulnerabilitățile identificate fuseseră deja făcute publice, iar în unele situații, raportarea publică era însoțită de o demonstrație teoretică a conceptului (PoC) – o demonstrație care ilustrează exact cum ar putea fi exploatată eroarea, permițând oricui să acceseze dispozitivul.

Cele aproape 10.000 de probleme semnalate sunt comune și deja cunoscute, iar asta arată că producătorii dispozitivelor nu sunt interesați sau nu au capacitatea să testeze în profunzime securitatea dispozitivelor și nici să facă în mod constant diverse actualizări de securitate, deși unele gadgeturi au o durată de folosință îndelungată. De obicei, credențialele de acces setate în mod implicit sunt foarte slabe, astfel că încercările de spargere a parolelor reușesc, în medie, în unu din patru cazuri”, spune Bogdan Botezatu (foto), specialist în securitate informatică la Bitdefender.

Sistemele scanate de Bitdefender BOX au inclus o gamă largă de dispozitive smart, inclusiv televizoare, termostate, camere web, sisteme de acces în locuință, console de jocuri, frigidere, mașini de spălat și aparate de aer condiționat conectate la internet, întrerupătoare și instalații de iluminat, prize sau senzori de mișcare.

Bitdefender BOX, dispozitiv dezvoltat integral în România și produs la Satu-Mare, a fost lansat pe piața locală în luna aprilie și este disponibil și în Statele Unite ale Americii, Franța, Germania și Japonia. Bitdefender este prima companie din lume care a lansat în 2015 un dispozitiv de securitate ce anticipa tendințele unei piețe în care tot mai multe dintre aparatele electronice folosite zilnic se conectează la internet, fără ca utilizatorii să aibă posibilitatea să le protejeze de atacuri cibernetice.

COMMENTS

WORDPRESS: 0
DISQUS: 0