Кибератаки на устройства Интернета Вещей не показали никаких признаков замедления по мере того, как становится известно все больше и больше уязвимостей.
Хотя большинство таких атак происходит из-за неправильной конфигурации устройств или слабых паролей, исследователи безопасности обеспокоены широким использованием сторонних библиотек — коллекций кода, которые поставщики могут использовать в программном обеспечении своих устройств, — вместо того чтобы писать код с нуля. Их мышление таково: если в этих библиотеках существуют уязвимости безопасности, то каждый поставщик, который их использует, также будет затронут. Другими словами, огромное количество устройств интернета вещей могут быть затронуты уязвимостями в широко используемых библиотеках.
«Уязвимые библиотеки приводят к уязвимым устройствам, которые угрожают общей безопасности домов пользователей», — говорит Хан Чжан из CyLab, аспирант кафедры компьютерных наук (CSD).
На симпозиуме USENIX Security Symposium на этой неделе Чжан представил новое исследование, которое показывает, насколько широко распространена эта проблема. Чжан и его соавторы рассмотрели 122 различных микропрограммных обеспечения интернета вещей для 27 различных устройств умного дома, выпущенных за восемь лет. Их цель состояла в том, чтобы узнать, насколько широко распространено использование общих библиотек среди поставщиков устройств, обновляются ли эти библиотеки для исправления уязвимостей и были ли значительные задержки в обновлении этих исправленных библиотек поставщиками в их собственном микропрограммном обеспечении устройств.
Оказывается, проблема довольно распространенная
«Мы обнаружили, что поставщики обновляют библиотеки очень редко, и они используют устаревшие и часто уязвимые версии большую часть времени», — говорит Чжан.
Исследователи обнаружили, что некоторые библиотеки отстали на сотни дней в применении критических патчей безопасности, которые были доступны для общественности. Чжан говорит, что полагаться на отдельных поставщиков IoT для быстрого обновления библиотек, которые они используют, проблематично; это требует слишком много усилий, но предлагает очень мало взамен.
«Но если они не будут обновлены, — говорит Хан, — … уязвимые библиотеки создают огромную угрозу для домашней среды IoT.»
Чтобы помочь смягчить проблему неуправляемых библиотек, команда предложила новую систему «Захват», которая позволяет устройствам в локальной сети, таким как одиночная домашняя сеть Wi-Fi, использовать централизованный концентратор с библиотеками, которые постоянно обновляются. С помощью Capture, говорят исследователи, домашняя коллекция интеллектуальных устройств всегда будет работать с использованием обновленных и защищенных библиотек.
Исследователи протестировали свою систему и показали, что несколько примеров IoT-устройств могут быть успешно модифицированы для использования Capture с минимальным изменением производительности устройств.
«Capture может обеспечить дополнительную защиту, которая в настоящее время отсутствует в домашних средах IoT, чтобы предотвратить локальные и интернет-атаки», — говорит Мэтт Фредриксон из CyLab, профессор CSD и Института исследований программного обеспечения (ISR), а также соавтор исследования.
Не только пользователи умных домашних устройств выиграют от использования Capture, говорит Чжан, но и сами производители устройств могут быть заинтересованы в его использовании, потому что он разгружает поддержание безопасности, которое они часто терпят неудачу в любом случае.
Исследователи признают несколько существенных ограничений системы, таких как тот факт, что захват создает одну точку сбоя. Эти ограничения являются областями будущей работы.
«Поскольку мы продолжаем внедрять широкий спектр интеллектуальных устройств в наших домах и офисах, поиск способов гарантировать безопасность и заверить пользователей в их конфиденциальности будет иметь решающее значение для доверия потребителей и широкого распространения», — говорит Юврадж Агарвал из CyLab, профессор ISR и соавтор исследования.
Код для захвата является открытым исходным кодом и доступен на Github.