Мобильные компании продвигают смарт-часы, это ещё один способ повысить спрос на давно переполненном рынке, но существует несколько веских причин, чтобы не поддаться на рекламные уловки.
Согласно отчёту компании HP Fortify, посвящённому безопасности этих новых гаджетов («Internet of Things Security Study: Smartwatches») недостатки системы безопасности смарт-часов могут быть даже хуже, чем на смартфонах.
Были протестированы 10 устройств на основе систем Android и Apple iOS, в которых были обнаружены такие существенные просчёты, как несоответствующая аутентификация, недостатки шифрования и уязвимая защита конфиденциальности данных.
Конечно, такие новости не радуют, но и не являются открытием, особенно в отношении систем Android, которые взламывают чаще всего. Что же нам ожидать от “умных” часов?
Результаты теста Fortify показали, что ничего хорошего. Команда нашла несколько типов проблем, которые можно распределить на 5 категорий:
Несоответствующая аутентификация/авторизация пользователя.
Каждый смартвотч был подключен к мобильному интерфейсу, который не мог осуществить двухкомпонентную аутентификацию или блокировать учётные записи после нескольких неудачных попыток ввода пароля. Проверка показала, что 30% устройств были уязвимы к спаму.
Протестированные смарт-часы позволяют, как и смартфоны загружать своё имя и телефонную книгу на сервер - «облако», который потом возвращает информацию про пользователей, использующих этот же сервис. Хакеры могут использовать этот список для того, чтобы узнать информацию про устройство, например, операционную систему, чтобы использовать точные атаки.
Недостатки транспортной шифровки.
В то время, как 100 процентов устройств использовали шифровку SSL/TLS, 40% соединений с «облаком» используют слабые коды шифрования и уязвимы к атакам POODLE из-за длительного использования протокола SSL v2.
Ненадёжный интерфейс.
30% протестированных часов, использующих «облачные» веб-интерфейсы, имели проблемы с безопасностью, самая серьёзная из которых связана c доступом к списку учётных записей.
Нестабильные программное обеспечение и прошивка.
У 70 процентов смарт-часов обнаружились проблемы с обновлением прошивки, включая передачу обновления прошивки без шифрования.
Конфиденциальность.
На всех протестированных смарт-часах, как и их сородичах смартфонах, присутствовала личная информация (адрес, дата рождения, пол, информация про здоровье и т. д.), которая могла быть легко получена из-за слабой системы безопасности.
Так что, если вы собираетесь купить «умные» часы, лучше их использовать только в том случае, когда не нужно использовать связь с внешним миром, например, посмотреть который час. Новое приобретение принесёт скорее больше неудобств, чем реальной помощи.