HP выявила серьезные уязвимости в домашних системах безопасности

HP выявила серьезные уязвимости в домашних системах безопасности

HP опубликовала результаты исследования, демонстрирующего, что наблюдение за домами, оснащенными системами безопасности с подключением к Интернету, могут осуществлять не только их владельцы, но и злоумышленники. Все без исключения проанализированные устройства, используемые для обеспечения безопасности домов, имеют серьезные уязвимости, в том числе связанные с защитой паролем, шифрованием и проверкой подлинности.

Домашние средства мониторинга, такие как видеокамеры и системы сигнализации, завоевали популярность на волне бума Интернета вещей (IoT), в первую очередь благодаря их исключительному удобству. По данным Gartner, в 2015 году количество устройств, подключенных к Интернету вещей, составит 4,9 млрд, а к 2020 году оно достигнет 25 млрд(1).Это исследование показывает, насколько плохо с точки зрения безопасности подготовлен рынок к ожидаемым темпам роста IoT.

«Оставляя в стороне удобство и доступность подключенных к Интернету устройств, нужно отметить, что они могут сделать наши дома и семьи уязвимыми, — говорит Джейсон Шмитт (Jason Schmitt), вице-президент и  руководитель подразделения по продуктам Fortify подразделения Enterprise Security Products компании HP. — Учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о самых простых мерах защиты, а производители — о том, что они в, конечном итоге, несут ответственность за безопасность своих пользователей».

HP использовала приложение HP Fortify on Demand для доступа к 10 домашним IoT-устройствам обеспечения безопасности, а также к их облачным и мобильным компонентам, и обнаружила, что ни одна из этих систем не требует использования надежного пароля и не предлагает двухфакторной проверки подлинности.

В числе наиболее распространенных и легко решаемых проблем с безопасностью оказались следующие.

  • Недостаточно надежная проверка подлинности: все системы с их облачными и мобильными интерфейсами не требовали установки паролей достаточной сложности и длины; для большинства было достаточно буквенно-цифрового пароля из шести символов. Ни одна из систем не предлагала возможности заблокировать учетную запись после определенного числа неудачных попыток ввода пароля.
  • Незащищенные интерфейсы: все протестированные облачные веб-интерфейсы имеют проблемы безопасности, позволяющие потенциальному злоумышленнику получить доступ к учетной записи с помощью инструментов, использующих три уязвимости приложения: возможность последовательного перебора значений, слабая политика паролей и отсутствие блокировки учетной записи. В пяти из десяти протестированных систем были выявлены проблемы в интерфейсе мобильного приложения, подвергающие пользователей аналогичным рискам.
  • Проблемы конфиденциальности: все системы собирали некоторые виды персональной информации, такие как имя, адрес, дата рождения, номер телефона и даже номера кредитных карт. Незащищенность этой персональной информации вызывает озабоченность, поскольку создает угрозу кражи учетных данных во всех системах. Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через мобильные приложения и облачные веб-интерфейсы. Конфиденциальность видеоизображений внутренних помещений дома находится под большим вопросом.
  • Отсутствие шифрования при передаче данных: хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак (например, для атаки POODLE). Правильная настройка шифрования на транспортном уровне особенно важна, поскольку безопасность является основной функцией этих систем.

Пока производители IoT-продуктов работают над внедрением столь необходимых средств защиты, потребителям настоятельно рекомендуется учитывать все эти аспекты при выборе системы мониторинга для своего дома. Развертывание безопасных домашних сетей до подключения небезопасных IoT-устройств, использование сложных паролей, блокировки учетных записей и двухфакторной проверки подлинности, — вот лишь некоторые меры, доступные пользователям Интернета вещей.

Эта работа является продолжением исследования Интернета вещей, проведенного HP в 2014 году, в котором была рассмотрена безопасность десяти наиболее распространенных IoT-устройств. 

Windows 11 незаметно съедала десятки гигабайт, Microsoft признала баг

Microsoft подтвердила неприятный баг в Windows 11: стандартный компонент системы Capability Access Manager мог незаметно раздувать служебный файл и занимать огромный объём дискового пространства. Пользователи жаловались на странное поведение системы уже несколько месяцев.

В одном из случаев файл CapabilityAccessManager.db-wal разросся примерно до 70 ГБ. Место на диске исчезало не из-за игр, видео или забытых архивов, а из-за штатной службы Windows.

Проблему одним из первых подробно описал пользователь Дональд Гибсон на официальном форуме поддержки Microsoft. По его словам, служба CapabilityAccessManager внезапно начала занимать десятки гигабайт, а поддержка компании сначала не смогла объяснить, что происходит. Позже похожие жалобы начали появляться и у других пользователей.

Теперь Microsoft официально признала проблему и добавила соответствующий пункт в описание обновления KB5095093 для Windows 11 версий 24H2 и 25H2. В компании сообщили, что апдейт улучшает использование дискового пространства для файла CapabilityAccessManager.db-wal.

Проще говоря, после установки обновления Windows 11 должна перестать бесконтрольно отъедать место на накопителе из-за этого компонента.

Заодно в KB5095093 добавили еще одно изменение: Проводник должен быстрее реагировать при подключении образов дисков. Правда, эта функция распространяется постепенно, поэтому появится не у всех сразу. Также Microsoft заменила поставщика GIF в панели эмодзи Windows: вместо Tenor теперь используется GIPHY.

Если на системном диске Windows 11 внезапно пропали десятки гигабайт, стоит проверить наличие обновления KB5095093. Похоже, в этот раз виноват не пользователь, не мусорные файлы и не загадочная папка Downloads, а сама операционная система.

RSS: Новости на портале Anti-Malware.ru