Якщо у вас смарт-телевізор або пристрої IoT, ваш дім пропускає дані

Роками було очевидно, що споживчим пристроям не можна довіряти захист даних користувачів, але було проведено порівняно мало досліджень про те, наскільки погано насправді сучасна екосистема. Нещодавно дослідники Північно-Східного університету та Імперського коледжу Лондона провели ретельний аналіз 81 різних продуктів IoT, щоб охарактеризувати, з якими послугами вони намагаються зв’язатися, які комунікації можна зробити з цих з'єднань та ступінь шифрування, що використовується для захисту клієнтів.

Основні результати наших досліджень включають наступне. Використовуючи 34 586 контрольованих експериментів, ми виявляємо, що пристрої 72/81 мають принаймні одне місце призначення, яке не є першою стороною (тобто належить виробнику пристроїв), 56% пристроїв у США та 83,8% пристроїв у Великобританії контактують з напрямками за межами своїх У цьому регіоні всі пристрої піддають інформацію підслуховувачам щонайменше через один простий текст, і пасивний підслуховувач може надійно виводити поведінку користувачів та пристроїв із трафіку (зашифрованого чи іншим чином) 30/81 пристроїв.

Те, що вони знайшли, різноманітне. Практично кожен телевізор зв’язувався з Netflix, щоб повідомити інформацію про себе, навіть коли жоден із пристроїв не оснащувався обліковим записом Netflix. Пристрої IoT часто контактують із сторонніми напрямами (Akamai, Google та Amazon), що дозволяє їм реєструвати профілі даних про клієнтів. Американські пристрої, як правило, звертаються до більше сторонніх служб, ніж пристрої Великобританії, можливо, через більш жорсткі вимоги щодо конфіденційності з боку британського боку водойми. Використання VPN мало мінімальний вплив на тип та кількість спроб підключення.

Аналіз шифрування, виконаний командою, мав проблеми; Wireshark не зміг розпізнати багато власні протоколи, які використовуються цими пристроями. Більш сильним результатом здається, що багато продуктів продовжують ділитися хоча б деякими даними в ясності, і це може представляти проблеми безпеки, пов’язані з конкретними продуктами, однак команда не провела глибокого аналізу того, яка саме інформація просочувалася. або лише частково зашифровані на рівні пристрою. З цим інструментом зробити це було неможливо.

Щодо того, що просочувалося через незашифровані канали, команда виявила, що випадки PII та іншої конфіденційної інформації просочуються у простому тексті, хоча є дані про покращення в цій області порівняно з минулими оцінками.

Тим не менш, ми виявили помітні випадки впливу ІПСШ. Сюди входили різні форми унікальних ідентифікаторів (MAC-адреса, UUID, ідентифікатор пристрою), геолокація на рівні штату / міста та назва пристрою / назва пристрою (наприклад, телевізор Джона Доу Roku TV). Примітним випадком, який ми знайшли в нашій лабораторії США, є холодильник Samsung, який надсилає MAC-адреси незашифрованими до домену EC2, що є кращою стороною підтримки. Це означає, що зараз Інтернет-провайдер може відслідковувати цей пристрій.

В обох наших лабораторіях ми виявили, що Magichome Strip надсилає свою MAC-адресу в простому тексті домену, розміщеному на Alibaba. Цікаво, що центр Insteon надсилав свою MAC-адресу в простому тексті до домену EC2, але тільки з лабораторії Великобританії. Ми не знайшли подібної поведінки в лабораторії США. Цікаво, що щоразу, коли камера Xiaomi виявляла рух, її MAC-адреса, година та дата руху (у простому тексті) надсилалися до домену EC2. Ми також відзначили, що на корисне навантаження було включено відео.

Нарешті, команда дослідила несподівані форми поведінки - і знайшла деякі. Дзвінки дзвінка записують кожен раз, коли хтось рухається перед ними. Це розкрито лише в політиці конфіденційності, і ви повинні сплачувати щомісячну плату за доступ до записів. ZMondo робить фотографію кожного разу, коли хтось рухається перед дзвоном. Камери Alexa активують неправильні слова набагато частіше, ніж будь-який інший тип голосового помічника.

Команда пише, що виявила "помітні випадки" пристроїв, які несподівано надсилали аудіо та відео. Автори вважають, що їх основні моменти показують, що "занепокоєння щодо інформації, яку піддають пристрої IoT, є гарантованою, як і подальше розслідування більш точних класифікаторів активності пристроїв та першопричин, що стосуються виведеної поведінки".

Тут немає жодного інциденту з курінням пістолета, жодної конкретної та особливої поведінки. Але є дуже багато сумнівних підключень, сторонніх служб та пристроїв, за якими можна відстежувати та відстежувати, залежно від того, як вони аутентифікуються та що вони передають у процесі. Пристрої, які ми пропонуємо додому, також можуть виконувати такі функції, і компанії нескінченно голодні за представленими ними даними.

Наразі єдине рішення цих проблем - це не приносити ці пристрої додому. Якщо у вас є смарт-телевізор, не підключайте його самостійно до Інтернету.

Читати далі

AMD збиває рекорди доходу як Zen 3, Xbox Series X, PS5 Ramp Up

Результати AMD у третьому кварталі 2020 року є, і результати в кожному конкретному випадку відмінні для компанії.

Samsung, Стенфорд, побудував 10 000 PPI дисплей, який міг би змінити VR, AR

Запитайте тих, хто провів у гарнітурі VR більше кількох хвилин, і вони згадають про ефект дверей на екрані. Це може назавжди його усунути.

Астрономи виявили планету-шахраю, яка блукає по Галактиці, розміром із землю

Астрономи ідентифікували понад 4000 екзопланет, що обертаються навколо інших зірок, але лише кілька "планет-шахраїв", які блукають по галактиці без зірки, щоб подзвонити додому. Нове дослідження стверджує, що помітило один із цих світів, і це може бути маленький кам’янистий світ, такий як Земля.

RISC-V навшпиньки до основного потоку завдяки платформі розробників SiFive, високопродуктивний процесор

RISC V продовжує проникати на ринок, цього разу завдяки дешевшій та повнофункціональнішій тестовій материнській платі.