Các nhà nghiên cứu từ bộ phận Fortify của Hewlett-Packard đã kiểm toán an ninh trên 10 loại thiết bị kết nối Internet phổ biến - thành phần của "Internet của vạn vật - IoT" trong ba tuần và đã xác định được một số lượng các lỗ hổng đáng báo động mức cao.
Các thiết bị IoT phổ biến nhất được nghiên cứu là: TV, webcam, máy điều hòa nhiệt độ, ổ cắm điện điều khiển từ xa, điều khiển phun nước, các trung tâm kiểm soát các thiết bị, ổ khóa cửa, chuông báo động, cân và thiết bị mở cửa ga ra. Tất cả các thiết bị được phân tích trong điều kiện kết nối với một số loại dịch vụ điện toán đám mây cũng như các ứng dụng di động cho phép người dùng điều khiển từ xa.
Internet of Things (Nguồn: Comsoc.org/blog)
Các nhà nghiên cứu của HP xác định được 250 lỗ hổng khác nhau, từ vấn đề có thể sinh ra lỗi bảo mật cho đến các vấn đề nghiêm trọng như thiếu mã hóa đường truyền, lỗ hổng trong quản lý giao diện web, cơ chế cập nhật phần mềm không an toàn và bảo vệ thông tin truy cập yếu kém hoặc nghèo nàn, trong báo cáo xác định:
- Sáu trong số 10 thiết bị cung cấp giao diện người dùng dễ bị tổn thương liên quan đến một loạt các vấn đề như lỗ hổng cross-site scripting và thông tin quan trọng yếu kém.
- 70% các thiết bị sử dụng các dịch vụ mạng không được mã hóa và lộ kết nối trong các dịch vụ điện toán đám mây và các ứng dụng điện thoại di động cho tin tặc tấn công và 80% thất bại trong việc bắt buộc sử dụng mật khẩu đủ dài hoặc phức tạp.
- Một kẻ tấn công có thể sử dụng lỗ hổng bảo mật như mật khẩu yếu, cơ chế khôi phục mật khẩu không an toàn, thông tin được bảo vệ kém v.v để truy cập vào một thiết bị.
- Mã hóa đường truyền cũng thiếu trong quá trình tải các bản cập nhật firmware trên 60% các thiết bị. Hơn nữa, chính bản cập nhật tập tin không được bảo vệ, có nghĩa là kẻ tấn công có thể thay đổi chúng trong quá trình truyền tin.
- Có thể cấu hình tài khoản với mật khẩu yếu như 1234 hoặc 123456 trên hầu hết các thiết bị, và trong nhiều trường hợp các tài khoản giống nhau đã được sử dụng để kiểm soát thông qua các dịch vụ đám mây hoặc các ứng dụng điện thoại di động.
Các nhà nghiên cứu của HP cho biết các nhà sản xuất nên tiến hành đánh giá an toàn các sản phẩm của họ sau khi danh sách 10 vấn đề an ninh hàng đầu thường ảnh hưởng đến hầu hết các thiết bị IoT được biên soạn bởi Dự án bảo vệ ứng dụng web mở (Open Web Application Security Project - OWASP).
Open Web Application Security Project
Một số lượng lớn các cuộc tấn công chống vào bộ định tuyến, các thiết bị lưu trữ mạng, DVR và các hệ thống nhúng khác tại gia đình đã được báo cáo trong năm nay cho thấy những kẻ tấn công đã bắt đầu nghiên cứu khả năng tấn công các thiết bị như vậy và tìm kiếm cách để kiếm tiền từ truy cập trái phép vào các thiết bị.
Theo CSO
Thêm bình luận