Selama sepekan, beberapa berita diangkat tentang topik “apa yang masih salah dengan IoT” (edisi sebelumnya:
1 ,
2 ,
3 ). Kerentanan terdeteksi di antarmuka web untuk pelacak GPS, di kamera video jaringan D-Link dan perangkat serupa dari berbagai produsen dari Cina, dan bahkan di panel LCD dengan koneksi nirkabel, biasanya digunakan untuk presentasi kantor.
Mari kita mulai dengan masalah yang memengaruhi jumlah maksimum perangkat: camcorder, bel pintu yang dikendalikan dari jarak jauh dan monitor bayi dari banyak pabrikan dari Cina. Peneliti Paul Marrapeze menemukan (
berita ,
laporan singkat) bahwa akses ke perangkat tersebut dapat diperoleh tanpa otorisasi dengan menyortir nomor seri, yang disusun menggunakan algoritma sederhana.
Semua perangkat berbagi aplikasi remote control yang umum dikenal sebagai iLnkP2P. Pada koneksi pertama, pemilik perangkat IoT perlu memindai barcode yang dicetak pada case atau secara manual memasukkan nomor seri. Dengan demikian, penyerang dapat dengan mudah memindai seluruh rentang nomor seri, menemukan perangkat yang berfungsi dan mengaksesnya menggunakan login dan kata sandi standar.
Bahkan jika pemilik mengubah kata sandi, dalam beberapa kasus dapat disadap, karena beberapa perangkat yang rentan tidak menggunakan enkripsi data. Menurut peneliti, enkripsi data diklaim untuk beberapa perangkat, meskipun sebenarnya informasi tersebut dikirim dalam bentuk teks yang jelas. Secara total, 15 jenis perangkat diidentifikasi setidaknya enam produsen berbeda. Daftar lengkap perangkat rentan tidak mungkin dikompilasi, lebih mudah untuk mengidentifikasi mereka dengan nama aplikasi dan bagian dari nomor seri.
Pengembang aplikasi tidak menanggapi permintaan peneliti, dan kecil kemungkinannya ia akan dapat sepenuhnya menutup kerentanan ini: ia harus memutus mekanisme otorisasi untuk perangkat baru. Selain itu, situs pengembang perangkat lunak tampaknya diretas, ada skrip di sana yang mengarahkan pengunjung ke taman bermain Cina. Hanya memblokir transfer data melalui port UDP 32100, melalui mana perangkat mengakses Internet, akan membantu.
Penulis "studi" lain memiliki masalah yang jelas dengan pendekatan etis untuk menemukan kerentanan. Alih-alih memberi tahu vendor, seorang hacker bernama L&M meretas puluhan ribu profil layanan geolokasi dan membocorkan informasi ke media (
berita ,
artikel asli di Motherboard). Ini adalah layanan web untuk pelacak GPS ProTrack dan iTrack.
Pelacak ini biasanya dipasang di mobil dan memungkinkan Anda untuk melacak pergerakan jarak jauh. Dalam beberapa kasus, fungsionalitas tingkat lanjut dimungkinkan, seperti menghidupkan dan mematikan mesin. Untuk akses ke data dan aplikasi kontrol untuk smartphone digunakan. Saat menjelajahi aplikasi, L&M menemukan bahwa secara default, klien layanan menerima kata sandi 123456, dan tidak semua orang mengubahnya.
Akibatnya, menjadi mungkin untuk mengakses data tentang lokasi perangkat, nama asli klien, dan untuk beberapa perangkat dimungkinkan untuk mematikan mesin dari jarak jauh jika mobil berdiri atau bergerak dengan kecepatan hingga 20 kilometer per jam. Motherboard berhasil menghubungi keempat pemilik perangkat dan mengonfirmasi keaslian data yang diterima tanpa otorisasi. Kerentanan menarik dan berpotensi berbahaya, tetapi bagaimanapun juga, studi keamanan dilakukan sedikit berbeda.
Tambahkan studi ESET (
berita ,
laporan perusahaan) tentang kerentanan dalam kamera IP D-Link DCS-2132L ke daftar masalah IoT. Para ahli telah menemukan bahwa sebagian besar data antara kamera dan aplikasi kontrol dikirimkan tanpa enkripsi. Ini memungkinkan untuk memotong data video, tetapi hanya dengan skrip Man-In-The-Middle atau dengan akses ke jaringan lokal. Dalam kasus terakhir, dimungkinkan untuk mengganti firmware perangkat.
Akhirnya, peneliti Tenable Security menemukan (
news ,
report ) 15 kerentanan dalam tampilan nirkabel populer dari beberapa produsen, termasuk Crestron AirMedia dan Barco wePresent. Semua monitor yang terpengaruh menggunakan (hampir) kode yang sama untuk menghubungkan komputer secara nirkabel. Perangkat ini, pertama, tidak memerlukan kabel untuk terhubung ke komputer, dan kedua, dapat dikontrol melalui antarmuka web. Kerentanan yang ditemukan ketika memeriksa perangkat Crestron AM-100 memungkinkan akses penuh ke monitor nirkabel.
Masalah ini menarik dalam konteks skenario menggunakan panel seperti itu: mereka dipasang di kantor, dapat memiliki akses ke jaringan lokal perusahaan dan pada saat yang sama - akses yang disederhanakan ke panel itu sendiri untuk para tamu. Pengaturan monitor yang tidak akurat dapat membuat pelanggaran serius dalam perlindungan jaringan komputer. Menurut peneliti, kerentanan sebagian tercakup oleh pembaruan perangkat lunak.
Penafian: Pendapat yang dikemukakan dalam intisari ini tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.