США будут использовать IoT для тотальной слежки за пользователями

США будут использовать IoT для тотальной слежки за пользователями

США будут использовать IoT для тотальной слежки за пользователями

В будущем разведывательные службы США смогут использовать интернет вещей (Internet of Things — IoT) для идентификации и определения местоположения людей, а также для наблюдения за их действиями и перемещениями, а также для получения доступа к компьютерным сетям и учетным данным пользователей.

Об этом комиссии Сената США в рамках доклада о национальных угрозах заявил директор Национальной разведки США Джеймс Клеппер (James Clapper) .

Как отмечает Guardian, эта возможность впервые была оглашена высокопоставленным чиновником США официально.

Недавнее исследование

В начале февраля 2016 г. исследователи из Беркманского центра изучения интернета и общества при Гарвардской юридической школе пришли к выводу, что развитие интернета вещей отрицательно скажется на неприкосновенности частной жизни. По их данным, рост количества сигналов, с помощью которых устройства будут обмениваться друг с другом данными, в конечном счете приведет к тому, что технологии шифрования уже не будут играть для разведывательных служб столь важную роль, как сейчас, передает cnews.ru.

Раздутые заявления

В своем обращении к комиссии Клеппер, к слову, технологии шифрования тоже затронул. Он заявил, что они «оказывают негативное влияние на способность собирать данные». Однако в докладе исследователей фигурирует иная точка зрения. ФБР и другие ведомства второй год сетуют на то, что шифрование данных усложняет их работу. Но в действительности мир находится в преддверии «золотой эры для наблюдателей», которая наступит благодаря именно интернету вещей.

За примером далеко ходить не надо

В феврале 2015 г. в центре внимания оказалась политика конфиденциальности, которую принимают все пользователи «умных» телевизоров Samsung. В ней говорится, что с помощью телевизора компания может записывать речь находящихся в комнате людей, поэтому им, в присутствии телевизора, не стоит делиться какими-то секретами.

В действительности запись речи предназначена для улучшения функции распознавания голоса для голосового управления телевизором. Однако многие пользователи тогда сравнили ситуацию с описанной в романе-антиутопии Джорджа Оруэлла (George Orwell) «1984». В нем для слежки за людьми используются телевизоры со встроенными камерами, которые нельзя отключить. Они называются «телекранами».

«Телекран работал на прием и на передачу. Он ловил каждое слово, если его произносили не слишком тихим шепотом; мало того, покуда Уинстон оставался в поле зрения мутной пластины, он был не только слышен, но и виден. Конечно, никто не знал, наблюдают за ним в данную минуту или нет. Часто ли и по какому расписанию подключается к твоему кабелю полиция мыслей — об этом можно было только гадать. Не исключено, что следили за каждым — и круглые сутки. Во всяком случае, подключиться могли когда угодно. Приходилось жить — и ты жил — по привычке, которая превратилась в инстинкт, — с осознанием того, что каждое твое слово подслушивают и каждое твое движение, пока не погас свет, наблюдают», — написано в романе.

Черный рынок

«Природа IoT-решений, как они внедряются и какие типы данных они генерируют и потребляют, приведет к новым последствиям в области безопасности и охраны частной жизни, к которым организации должны готовиться. Эта проблема быстро набирает вес, заставляя руководителей компаний сталкиваться со сложностями, к которым они не готовы», — говорится в недавнем исследовании Gartner.

По мнению аналитиков, к 2020 г. сформируется черный рынок размером более $5 млрд, на нем будут продаваться поддельные датчики интернета вещей и видеозаписи, которые будут использоваться как для совершения противоправных действий, так и, наоборот, для охраны частной жизни.

Шесть дыр в AirDrop и Quick Share поставили под удар миллиарды устройств

Функции вроде AirDrop и Quick Share создавались для удобства: поднес устройство поближе и отправил файл без проводов, аккаунтов и долгой настройки. Но оказалось, что именно это удобство открывает дополнительную поверхность для атак.

Исследователи из CISPA Helmholtz Center for Information Security обнаружили сразу шесть уязвимостей, затрагивающих экосистемы Apple, Google и Samsung. Под удар попали macOS, iOS, Android и Windows.

По словам авторов исследования, злоумышленнику достаточно находиться в радиусе действия Wi-Fi (обычно от 10 до 30 метров). Предварительное сопряжение устройств, обмен контактами или подключение к одной сети не требуются.

В случае AirDrop специалисты нашли три проблемы, каждая из которых позволяет вывести из строя системный процесс sharingd. А вместе с ним перестают работать не только AirDrop, но и AirPlay, Handoff, Universal Clipboard и Continuity Camera. Один из сценариев позволяет удерживать сервис недоступным, периодически отправляя специально сформированные запросы.

 

Не лучше обстоят дела и с Quick Share. Специалисты обнаружили два логических обхода механизмов защиты, позволяющих обрабатывать часть сообщений еще до завершения проверки подлинности или вовсе без шифрования.

Кроме того, в Windows-клиенте Quick Share выявлена ошибка use-after-free, которая может привести к повреждению памяти. Google уже выплатила вознаграждение за находку и подготовила исправление.

Любопытно, что разработчики Apple и Google пришли к похожим проблемам совершенно разными путями. В AirDrop причиной стали ошибки обработки входящих данных и чрезмерно уязвимые проверки, а в Quick Share — распределение критически важных проверок по отдельным обработчикам и проблемы многопоточности.

Исследователи считают, что проблема носит архитектурный характер. Сервисы обмена файлами вынуждены принимать и разбирать данные от незнакомых устройств еще до завершения аутентификации пользователя. Именно этот этап становится привлекательной целью для атакующих.

Часть обнаруженных проблем уже устранена. Apple сообщила исследователям, что исправила одну из уязвимостей AirDrop и присвоила ей идентификатор CVE, хотя подробности пока не раскрываются. Google также выпустила патч для Windows-версии Quick Share, а остальные найденные проблемы еще находятся в процессе раскрытия.

RSS: Новости на портале Anti-Malware.ru