“Розумні” сервіси в небезпеці: Як IoT-технології роблять оренду електротранспорту та зарядних станцій вразливою
Оператори сервісів прокату, зокрема електросамокатів чи зарядних пристроїв для електромобілів, часто нехтують безпекою, обираючи архітектуру інтернету речей (IoT) заради максимальної зручності користувачів. Однак така інфраструктура виявляється надзвичайно вразливою до кібератак.
Джерело зображення: JUICE / unsplash.com
Китайський експерт Хетянь Ші (Hetian Shi) на профільній конференції наочно продемонстрував, наскільки легко поставити під загрозу подібні сервіси. Він встановив, що сервіси прокату, які покладаються на технології інтернету речей, мають архітектурні вразливості. Зокрема, орендне обладнання часто оснащене портами, підключення до яких дозволяє зловмисникам, що володіють відповідними навичками, знаходити слабкі місця в системі.
Типові вектори атак та їх наслідки
- Спільні ключі аутентифікації: У прошивках пристроїв та серверних службах можуть використовуватися однакові ключі, що полегшує несанкціонований доступ.
- Недостатній захист клієнтських застосунків: Програми, які використовують клієнти для взаємодії з сервісами, часто мають слабкий захист. Обійшовши його, хакери можуть створювати “фантомних” клієнтів, що дозволяє безкоштовно користуватися орендованою технікою.
- Витік персональних даних: Доступ до серверної частини стає відносно простим завданням, що ставить під загрозу конфіденційність особистої інформації користувачів.
Хетянь Ші підкріпив свої слова вражаючою демонстрацією. Він розробив універсальний інструмент для злому орендних сервісів під назвою IDScope. Експерт продемонстрував його роботу з iOS-застосунком однієї з популярних в Китаї мереж зарядних станцій для електромобілів. Після вибору міста (Шанхай) та вказання ідентифікатора конкретної зарядної станції, експерт ввів його у свій скрипт. За лічені секунди зелений значок доступності станції (“Вільна”) змінився на сірий (“Відключено”).
Слабкий захист у реалізаціях сервісів на базі IoT дозволяє не лише зламувати окреме обладнання, але й здійснювати масштабні DDoS-атаки, що може призвести до виведення з ладу цілих міських мереж зарядних пристроїв для електромобілів. Дослідник також протестував 11 застосунків європейських постачальників послуг та виявив подібні проблеми, зробивши висновок, що такі вразливості є глобальною проблемою для цих сервісів.
Порада від Soft Portal:
Ця інформація підкреслює важливість обізнаності користувачів про потенційні ризики, пов’язані з використанням “розумних” сервісів. Хоча розробники повинні забезпечувати надійний захист, споживачам також варто бути уважними та обирати сервіси, які демонструють прихильність до безпеки даних та інфраструктури.