Интернет незащищенных вещей: термостаты Nest пойманы на утечке почтовых индексов владельцев домов

Гнездовой термостат 1
Nest Labs надеялась вызвать революцию в Интернете вещей ( IoT ) с введением Nest Learning Thermostat . В конце концов, многие домовладельцы никогда не сталкивались с термостатом, который был бы настолько искусным в поддержании уровней нагрева/охлаждения, используя набор датчиков и магию программного обеспечения, отключаясь, когда вы выходите из комнаты, и снова включаясь, когда вы возвращаетесь.

Достижений Nest с ее термостатом (а позже и с Nest Protect ) хватило, чтобы привлечь внимание Google, купившей компанию за 3,2 миллиарда долларов в 2014 году .

Хотя никто не ожидает, что термостат Nest должен быть заблокирован так же надежно, как, скажем, смартфон, вы, по крайней мере, предполагаете, что он не будет раскрывать личную информацию домовладельцев. Однако два исследователя из Принстонского центра политики в области информационных технологий (CITP) — доктор философии. студент Сартак Гровер и коллега Ройя Энсафи обнаружили, что термостаты Nest на самом деле выдавали домашний почтовый индекс (и, как следствие, ближайшую метеостанцию) своих пользователей.

Nest признала, что это была ошибка в программном обеспечении термостата и, конечно же, это не было преднамеренным действием. И хотя что-то такое безобидное, как почтовый индекс, относительно безвредно в большой схеме (мы не говорим об адресах электронной почты, домашних адресах или информации о кредитной карте), небрежное программирование может привести к еще более серьезным утечкам конфиденциальности.

Так обстоит дело и с другими устройствами, протестированными исследовательской группой, включая камеру безопасности Sharx, цифровую фоторамку PixStar и умную колонку Ubi. Было обнаружено, что динамик Ubi отправляет голосовые чаты и показания датчиков по незашифрованному HTTP, а камера безопасности Sharx передает видео по незашифрованному FTP.

Гнездовой термостат 2

По крайней мере, в случае с термостатами Nest Google быстро выпустил исправление.

«Некоторые устройства шифруют трафик данных, но шифрования может быть недостаточно», — говорится в сообщении CITP в блоге. Выводы исследователей также выявили некоторые очень тревожные данные, о которых предупреждали эксперты по конфиденциальности, поскольку все больше и больше бытовой техники, детских мониторов и камер безопасности становятся «облачными».

«Шифрование может быть хорошей отправной точкой, но само по себе оно недостаточно для сохранения конфиденциальности пользователей. Например, взаимодействие пользователя с этими устройствами генерирует сигнатуры трафика, которые раскрывают информацию, например, когда питание в розетке было включено или выключено. Похоже, что простых характеристик трафика, таких как объем трафика с течением времени, может быть достаточно, чтобы выявить определенные действия пользователей.

«Даже когда сам трафик данных зашифрован, другой трафик, отправляемый в открытом виде, такой как поиск DNS, может выявить не только наличие определенных устройств в вашем доме, но, вероятно, также информацию об их использовании и характере активности».

Революция Интернета вещей представляет собой еще один вектор атаки, позволяющий злоумышленникам отслеживать каждое ваше движение, даже если вы думаете, что находитесь в безопасности в своем собственном доме. Защитить данные клиентов должны технологические компании, и, судя по всему, им еще предстоит пройти долгий путь.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал