Якщо у вас смарт-телевізор або пристрої IoT, ваш дім пропускає дані

Роками було очевидно, що споживчим пристроям не можна довіряти захист даних користувачів, але було проведено порівняно мало досліджень про те, наскільки погано насправді сучасна екосистема. Нещодавно дослідники Північно-Східного університету та Імперського коледжу Лондона провели ретельний аналіз 81 різних продуктів IoT, щоб охарактеризувати, з якими послугами вони намагаються зв’язатися, які комунікації можна зробити з цих з'єднань та ступінь шифрування, що використовується для захисту клієнтів.

Основні результати наших досліджень включають наступне. Використовуючи 34 586 контрольованих експериментів, ми виявляємо, що пристрої 72/81 мають принаймні одне місце призначення, яке не є першою стороною (тобто належить виробнику пристроїв), 56% пристроїв у США та 83,8% пристроїв у Великобританії контактують з напрямками за межами своїх У цьому регіоні всі пристрої піддають інформацію підслуховувачам щонайменше через один простий текст, і пасивний підслуховувач може надійно виводити поведінку користувачів та пристроїв із трафіку (зашифрованого чи іншим чином) 30/81 пристроїв.

Те, що вони знайшли, різноманітне. Практично кожен телевізор зв’язувався з Netflix, щоб повідомити інформацію про себе, навіть коли жоден із пристроїв не оснащувався обліковим записом Netflix. Пристрої IoT часто контактують із сторонніми напрямами (Akamai, Google та Amazon), що дозволяє їм реєструвати профілі даних про клієнтів. Американські пристрої, як правило, звертаються до більше сторонніх служб, ніж пристрої Великобританії, можливо, через більш жорсткі вимоги щодо конфіденційності з боку британського боку водойми. Використання VPN мало мінімальний вплив на тип та кількість спроб підключення.

Аналіз шифрування, виконаний командою, мав проблеми; Wireshark не зміг розпізнати багато власні протоколи, які використовуються цими пристроями. Більш сильним результатом здається, що багато продуктів продовжують ділитися хоча б деякими даними в ясності, і це може представляти проблеми безпеки, пов’язані з конкретними продуктами, однак команда не провела глибокого аналізу того, яка саме інформація просочувалася. або лише частково зашифровані на рівні пристрою. З цим інструментом зробити це було неможливо.

Щодо того, що просочувалося через незашифровані канали, команда виявила, що випадки PII та іншої конфіденційної інформації просочуються у простому тексті, хоча є дані про покращення в цій області порівняно з минулими оцінками.

Тим не менш, ми виявили помітні випадки впливу ІПСШ. Сюди входили різні форми унікальних ідентифікаторів (MAC-адреса, UUID, ідентифікатор пристрою), геолокація на рівні штату / міста та назва пристрою / назва пристрою (наприклад, телевізор Джона Доу Roku TV). Примітним випадком, який ми знайшли в нашій лабораторії США, є холодильник Samsung, який надсилає MAC-адреси незашифрованими до домену EC2, що є кращою стороною підтримки. Це означає, що зараз Інтернет-провайдер може відслідковувати цей пристрій.

В обох наших лабораторіях ми виявили, що Magichome Strip надсилає свою MAC-адресу в простому тексті домену, розміщеному на Alibaba. Цікаво, що центр Insteon надсилав свою MAC-адресу в простому тексті до домену EC2, але тільки з лабораторії Великобританії. Ми не знайшли подібної поведінки в лабораторії США. Цікаво, що щоразу, коли камера Xiaomi виявляла рух, її MAC-адреса, година та дата руху (у простому тексті) надсилалися до домену EC2. Ми також відзначили, що на корисне навантаження було включено відео.

Нарешті, команда дослідила несподівані форми поведінки - і знайшла деякі. Дзвінки дзвінка записують кожен раз, коли хтось рухається перед ними. Це розкрито лише в політиці конфіденційності, і ви повинні сплачувати щомісячну плату за доступ до записів. ZMondo робить фотографію кожного разу, коли хтось рухається перед дзвоном. Камери Alexa активують неправильні слова набагато частіше, ніж будь-який інший тип голосового помічника.

Команда пише, що виявила "помітні випадки" пристроїв, які несподівано надсилали аудіо та відео. Автори вважають, що їх основні моменти показують, що "занепокоєння щодо інформації, яку піддають пристрої IoT, є гарантованою, як і подальше розслідування більш точних класифікаторів активності пристроїв та першопричин, що стосуються виведеної поведінки".

Тут немає жодного інциденту з курінням пістолета, жодної конкретної та особливої поведінки. Але є дуже багато сумнівних підключень, сторонніх служб та пристроїв, за якими можна відстежувати та відстежувати, залежно від того, як вони аутентифікуються та що вони передають у процесі. Пристрої, які ми пропонуємо додому, також можуть виконувати такі функції, і компанії нескінченно голодні за представленими ними даними.

Наразі єдине рішення цих проблем - це не приносити ці пристрої додому. Якщо у вас є смарт-телевізор, не підключайте його самостійно до Інтернету.

Читати далі