IoT-приложения для мобильных устройств имеют множество дыр

Аудит безопасности приложений IoT для мобильных устройств, доступных в официальных магазинах, выявил, что технология защиты мира IoT еще далека от совершенства. Команда Pradeo Security сделала выборку из 100 приложений для iOS и Android, разработанных для управления связанными объектами вроде нагревателей, освещения, дверных замков, детских мониторов и камер видеонаблюдения.

Результаты этого аудита показали, что каждое седьмое приложение (15%) из Google Play и App Store уязвимо для перехвата информации. В частности, эксперты отметили полную незащищенность этих программ от атак вида «человек посередине» (man-in-the-middle).

Каждое двенадцатое приложение (8%) каким-либо образом подключены к несертифицированным серверам.

«Некоторые из используемых сертификатов истекли и доступны в Сети. Любой, кто купит их, получит доступ ко всем данным», — предупреждают в Pradeo.

Команда Pradeo также обнаружила, что подавляющее большинство приложений компрометируют обрабатываемые ими данные. Вот небольшая статистика по данным, которые могут «слить» эти программы:

• Содержимое файла приложения — 81% приложений.
• Информация об оборудовании (производитель устройства, коммерческое название, состояние батареи и прочее) — 73% приложений.
• Информация об устройстве (номер версии ОС и т.п.) — 73% приложений.
• Временные файлы — 38%.
• Информация о сети (поставщик услуг, код страны и прочее) — 27%.
• Видео и аудио записи — 19%.
• Файлы, поступающие из статических данных приложения — 19%.
• Геолокация — 12%.
• Сетевая информация (IP-адрес, 2D-адрес, состояние подключения Wi-Fi) — 12%.
• Идентификаторы устройств (IMEI) — 8%.

Pradeo Security сообщила вендорам о проблемах безопасности.