IoT-приложения для мобильных устройств имеют множество дыр

IoT-приложения для мобильных устройств имеют множество дыр

IoT-приложения для мобильных устройств имеют множество дыр

Аудит безопасности приложений IoT для мобильных устройств, доступных в официальных магазинах, выявил, что технология защиты мира IoT еще далека от совершенства. Команда Pradeo Security сделала выборку из 100 приложений для iOS и Android, разработанных для управления связанными объектами вроде нагревателей, освещения, дверных замков, детских мониторов и камер видеонаблюдения.

Результаты этого аудита показали, что каждое седьмое приложение (15%) из Google Play и App Store уязвимо для перехвата информации. В частности, эксперты отметили полную незащищенность этих программ от атак вида «человек посередине» (man-in-the-middle).

Каждое двенадцатое приложение (8%) каким-либо образом подключены к несертифицированным серверам.

«Некоторые из используемых сертификатов истекли и доступны в Сети. Любой, кто купит их, получит доступ ко всем данным», — предупреждают в Pradeo.

Команда Pradeo также обнаружила, что подавляющее большинство приложений компрометируют обрабатываемые ими данные. Вот небольшая статистика по данным, которые могут «слить» эти программы:

  • Содержимое файла приложения — 81% приложений.
  • Информация об оборудовании (производитель устройства, коммерческое название, состояние батареи и прочее) — 73% приложений.
  • Информация об устройстве (номер версии ОС и т.п.) — 73% приложений.
  • Временные файлы — 38%.
  • Информация о сети (поставщик услуг, код страны и прочее) — 27%.
  • Видео и аудио записи — 19%.
  • Файлы, поступающие из статических данных приложения — 19%.
  • Геолокация — 12%.
  • Сетевая информация (IP-адрес, 2D-адрес, состояние подключения Wi-Fi) — 12%.
  • Идентификаторы устройств (IMEI) — 8%.

Pradeo Security сообщила вендорам о проблемах безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru