Ученые проанализировали взаимодействие устройств интернета вещей (IoT) и мобильных приложений в локальной сети «умного дома» и выявили наличие множества угроз безопасности и конфиденциальности жителей таких домов, вызванного постоянно растущим распространением в них непрозрачных и технически сложных устройств.
Международная группа исследователей, возглавляемая IMDEA Networks и Северо-Восточным университетом Бостона, представила результаты своего исследования в докладе под названием «В комнате, где это происходит: характеристика локальных коммуникаций и угроз в умных домах», который был представлен на этой неделе на конференции ACM Internet Measurement Conference (ACM IMC’23) в Монреале.
В докладе они отмечают, что «умные дома» всё более взаимосвязаны, включая в себя множество ориентированных на потребителя IoT-устройств — от смартфонов и смарт-телевизоров до виртуальных помощников и камер видеонаблюдения. Такие устройства оснащены камерами, микрофонами и другими датчиками, которые постоянно отслеживают, что происходит в доме.
Исполнительный директор, доцент кафедры компьютерных наук Института кибербезопасности и конфиденциальности Северо-Восточного университета Дэвид Чоффнес указал:
«Когда мы думаем о том, что происходит за стенами наших домов, мы думаем об этом как о надежном, уединенном месте. На самом деле мы обнаруживаем, что интеллектуальные устройства в наших домах проникают сквозь завесу доверия и конфиденциальности, позволяя практически любой компании узнать, какие устройства есть у вас дома, когда вы находитесь дома, где находится ваш дом. Такое их „поведение“ обычно не раскрывается потребителям».
В докладе исследовательской группы впервые рассматриваются тонкости взаимодействия в локальной сети между 93 IoT-устройствами и мобильными приложениями и актуализируется множество ранее скрытых проблем безопасности и конфиденциальности пользователей, имеющих реальные последствия.
Исследователи развеивают представление большинства пользователей о локальных сетях как о надежной и безопасной среде. Их исследования говорят об угрозах непреднамеренного раскрытия конфиденциальных данных IoT-устройствами, подключенными к локальной сети с использованием стандартных протоколов, таких как UPnP или mDNS.
Эти угрозы включают раскрытие уникальных аппаратных адресов (MAC), универсальных уникальных идентификаторов (UUID) или уникальных имен устройств, и даже данных о геолокации домохозяйств, которые могут собираться рекламными компаниями без ведома пользователей.
Аспирант Нью-Йоркского университета Тандон, соавтор статьи Виджай Пракаш пояснил, что, анализируя данные, собранные с помощью программы IoT Inspector, исследователи нашли доказательства того, что IoT-устройства непреднамеренно раскрывают по крайней мере одну персональную информацию (PII), такую как MAC, UUID или уникальные имена устройств. При этом объединение всех трех PII вместе делает дом уникальным и легко идентифицируемым.
Протоколы локальной сети могут стать побочными каналами для доступа к данным, которые предположительно защищены несколькими разрешениями мобильных приложений, например, о местонахождении дома.
«Побочный канал — это хитрый способ косвенного доступа к конфиденциальным данным. Например, разработчики приложений Android должны запрашивать и получать согласие пользователей на доступ к таким данным, как геолокация. Однако мы показали, что некоторые шпионские приложения и рекламные компании злоупотребляют протоколами локальной сети для незаметного доступа к такой конфиденциальной информации без ведома пользователя», — рассказал доцент-исследователь IMDEA Networks и соучредитель AppCensus Нарсео Валлина-Родригес.
Таким образом, исследование показывает, что протоколы локальной сети, используемые устройствами Интернета вещей, недостаточно защищены и раскрывают конфиденциальную информацию о доме и об использовании устройств. Собранная непрозрачным способом, такая информация облегчает создание профилей привычек или социально-экономического уровня пользователей IoT.
Результаты исследования подчеркивают необходимость производителям, разработчикам программного обеспечения, операторам Интернета вещей и мобильных платформ, а также политикам принять меры для повышения конфиденциальности и обеспечения гарантий безопасности устройств «умного дома» и домохозяйств.
Исследовательская группа сообщила об этих проблемах производителям уязвимых IoT-устройств и команде Google по безопасности Android-приложений, что уже привело к улучшению безопасности в некоторых продуктах.