Утечки персональных данных
И сами IoT-устройства, и связанное с ними программное обеспечение могут стать источниками утечки персональных данных. Связанные с большинством IoT-девайсов веб-приложения и сервисы, установленные на мобильных устройствах и настольных компьютерах, могут обладать теми же недостатками, что и любые другие программы. Они могут собирать персональные данные, предоставляя информацию об устройстве пользователя разработчикам IoT-девайса, а также рекламным и маркетинговым сетям. Опасности, связанные с программным обеспечением, мы обсуждали в главах 9 и 10.
КЕЙС В 2020 г. специалисты организации Electronic Frontier Foundation (EFF)
[1105] выяснили, что Android-приложение для «умного» дверного видеозвонка Ring Doorbell содержит несколько трекеров, которые передают маркетинговым и аналитическим компаниям информацию, собранную на устройстве пользователя. К этим данным относятся имена, IP-адреса, названия операторов сотовой связи, идентификаторы и показания датчиков устройства (магнитометра, гироскопа и акселерометра), позволяющие сформировать цифровой отпечаток пользователя
[1106].
Кроме того, с приложениями для IoT-устройств может быть связан еще один способ атаки – несанкционированное подключение к каналу связи между устройством и приложением. Чтобы избежать таких атак, следует обеспечить безопасность беспроводных интерфейсов между приложением и устройством (см. главу о безопасном интернете), а также надежное шифрование передаваемого трафика. Так, злоумышленники могут вести MiTM-атаки, если алгоритмы шифрования данных в Wi-Fi или Bluetooth-сети окажутся слабыми или шифрования не будет вовсе. В этом случае злоумышленники способны не только перехватывать данные, но и изменять (подделывать) их, а также управлять устройством, как описано выше.
Телевизоры и другие IoT-устройства активно поддерживают функции регистрации личных профилей, предлагая пользователям вводить свои персональные данные, такие как дата рождения, рост и вес, что в сочетании с определением IP-адресов подобных девайсов позволяет деанонимизировать их владельцев. Это опасно при анализе трафика государственными организациями; в частности, если устройство обладает функцией «автоматического распознавания контента» (automatic content recognition, ACR), определяя, какие каналы и телепередачи предпочитает смотреть пользователь (см. следующий подраздел), возникает возможность анализа общественного мнения и выявления, к примеру, нелояльных к власти граждан.
КЕЙС В 2019 г. в открытом доступе в интернете оказались конфиденциальные данные пользователей IoT-устройств китайского вендора Orvibo. Персональная информация содержалась в более чем 2 млрд логов, сформированных девайсами, и включала такие данные, как адреса электронной почты, пароли, коды для сброса аккаунта, точные географические координаты устройств, IP-адреса, имена/фамилии и идентификаторы пользователей, семейные идентификаторы, сведения о других подключенных устройствах и т. п. Уязвимость затронула около 100 моделей устройств, среди которых были электронные замки, камеры видеонаблюдения и системы управления освещением
[1107].
Особенно стоит выделить атаки на медицинские устройства
[1108]. Их взлом интересует хакеров прежде всего ради доступа к сети медицинского учреждения и хищения сведений о пациентах с целью дальнейшей перепродажи и вымогательства
[1109]. К примеру, в 2016 г. в даркнете в продаже появилась база данных с примерно 655 000 медицинских записей, украденных из различных медицинских учреждений США
[1110]. Также атаки могут совершаться в ходе террористических актов с целью выведения медицинского оборудования из строя
[1111]. Количество преступлений, цель которых – взлом сетей и устройств медицинских учреждений, год от года растет, в частности потому, что оборудование в таких организациях рассчитано на длительную эксплуатацию и нередко преждевременно лишается поддержки вендора. Из-за прекращения поддержки компанией Microsoft операционной системы Windows 7 количество уязвимых устройств в 2020 г. существенно выросло и достигло 83 %
[1112]. Также, согласно результатам того же отчета
[1113] Palo Alto Networks, 98 % трафика IoT-устройств передается в незашифрованном виде. Это может привести к утечке персональных и конфиденциальных данных и предоставляет злоумышленникам возможность перехватывать незашифрованный сетевой трафик, а затем использовать полученные данные для продажи в даркнете. Кроме того, во многих медицинских сетях (72 % от общего количества) IoT-устройства и компьютерная аппаратура не изолированы, поэтому вредоносные программы могут распространяться с пользовательских терминалов на уязвимые IoT-устройства в той же сети.
КЕЙС В мае 2015 г. была совершена medjack
[1114] -атака на сеть медицинской лаборатории. Сначала злоумышленники получили доступ к одной из рабочих станций в ИТ-отделе этой медицинской организации – вероятно, через java-апплет. Затем они обнаружили газоанализаторы крови, работающие под управлением операционной системы Windows 2000, и эксплуатировали критическую уязвимость CVE-2008-4250
[1115], допускающую удаленное выполнение кода
[1116]. В скомпрометированные среды были загружены и запущены бэкдоры, обеспечивающие обратное соединение с серверами злоумышленников и автоматическое исполнение кода при включении оборудования. Хакеры получили полный доступ к базе данных, в которой хранились все результаты газоанализа. В числе прочего доступ к базе данных осуществлялся через учетную запись администратора с дефолтными логином и паролем. Злоумышленники могли не только изменить или удалить медицинские записи, но и вызвать неполадки в работе оборудования
[1117].