IoT qurilma ilovalarining qariyb 31% shifrlashdan foydalanmaydi.
TP-Link, LIFX, Belkin va Broadlink uchun Android ilovalarida zaifliklar aniqlandi.
Pernambuco Federal Universiteti (Braziliya) va Michigan Universiteti (AQSh) tadqiqotchilarining qo’shma guruhi IoT qurilmalari uchun Android ilovalarining xavfsizligini tahlil qilishdi va ba’zi umidsizlikka uchragan xulosalarga kelishdi. Tadqiqotchilar 96 ta IoT qurilmalari uchun ilovalarni o’rganib chiqdilar va ularning deyarli 31 foizi umuman shifrlashdan foydalanmasligini, 19 foizi esa osongina topiladigan o’rnatilgan shifrlash kalitiga ega ekanligini aniqladilar. Ilovalarning o’ttiz sakkiz foizi protokol zaifliklari orqali ishlatilishi mumkin.
Tadqiqotchilar TP-Link qurilmalari uchun Kasa for Mobile ilovasini, LIFX Wi-Fi yoqilgan aqlli lampalar uchun ilovani, Belkin IoT qurilmalari uchun WeMo ilovasini va Broadlink aqlli uy tizimlari uchun e-Control ilovasini tahlil qilishdi. Ular har biri uchun eksployt yaratdilar.
Mutaxassislar Amazon’da taqdim etiladigan TP-Link aqlli vilkasi mahsulot liniyasi bir xil shifrlash kalitidan foydalanishini va qurilmalar tegishli autentifikatsiyasiz ilova orqali konfiguratsiya qilinishini aniqladilar. Ushbu ma’lumotdan foydalanib, tajovuzkor soxta hujumni amalga oshirishi va qurilmani nazoratga olishi mumkin. Mutaxassislar zaiflikdan qanday foydalanilishini ko‘rsatuvchi videoga havolani nashr etishdi. Ularning aytishicha, muammo boshqa TP-Link qurilmalariga ham ta’sir qiladi, chunki ular bir xil mobil ilova orqali boshqariladi.
Keyin tadqiqotchilar Wi-Fi va Bluetooth qo’llab-quvvatlovchi eng mashhur 96 ta Amazon IoT qurilmalari uchun 32 ta ilovani tahlil qilishdi va shunga o’xshash zaifliklarni topdilar.
Hisobotni nashr etishdan oldin, tadqiqotchilar ishlab chiqaruvchilarga muammolar haqida xabar berishdi, ammo hech qanday javob olishmadi. LIFX vakili The Register nashriga kompaniya 2018-yil oxirida zaifliklarni tuzatganini va shifrlash kabi himoya choralarini amalga oshirganini aytdi.
