home 製造技術 製造設備
工業製造
産業用モノのインターネット | 工業材料 | 機器のメンテナンスと修理 | 産業プログラミング |
home  MfgRobots >> 工業製造 >  >> Industrial Internet of Things >> モノのインターネットテクノロジー

アプリケーションの脆弱性により、IoTデバイスは攻撃を受けやすくなります

IoTデバイスは、このホリデーシーズンに再び人気のある贈り物でした。モノのインターネットの頭字語であるIoTは、単なる流行語ではありません。この傾向は、以前はこの機能を持つことを意図していなかった製品にネットワーク接続が追加されるため、製品の製造方法と使用方法に大きな変化が見られることを表しています。

つまり、ミルクがなくなったときにテキストメッセージを送信する冷蔵庫:IoT。携帯電話の使用状況グラフを提供するサーモスタット:うん、IoT。基本的に、コンピューター、電話、タブレット、ルーター以外のネットワークに接続できる消費者向けデバイスはすべてIoTデバイスと見なされます、とバラクーダネットワークスのCTOであるFlemingShi氏は述べています。

ただし、セキュリティはIoTデバイスにとって大きな懸念事項です。改善は行われていますが、新しいタイプの脆弱性が残っています。たとえば、Barracuda Labsチームは最近、IoTセキュリティカメラを使用して、新しい脅威を説明しました。IoTクレデンシャルの侵害は、ウェブとモバイルアプリケーションの脆弱性を利用してIoTデバイスを侵害します。

IoTクレデンシャルの侵害

攻撃者は、特定のIoTデバイスで使用されるWebアプリケーションおよびモバイルアプリケーションの脆弱性を使用して資格情報を取得できます。資格情報は、ビデオフィードの表示、アラームの設定/受信/削除、クラウドストレージからの保存済みビデオクリップの削除、およびアカウント情報の読み取りに使用できます。 。攻撃者は、資格情報を使用して自分のファームウェアアップデートをデバイスにプッシュし、その機能を変更し、侵害されたデバイスを使用して同じネットワーク上の他のデバイスを攻撃することもできます。

詳細

この脅威を説明するために、バラクーダ ラボチームは最近、接続されたセキュリティカメラに関する調査を実施し、カメラのウェブアプリとモバイルアプリのエコシステムに複数の脆弱性を特定しました。

  • モバイルアプリはサーバー証明書の有効性を無視します
  • ウェブアプリのクロスサイトスクリプティング(XSS)
  • クラウドサーバーでのファイルトラバーサル
  • ユーザーがデバイスの更新リンクを制御する
  • デバイスの更新は署名されていません
  • デバイスはサーバー証明書の有効性を無視します

チームはこれらの脆弱性を利用して、デバイス自体に直接接続することなく、次の攻撃を実行して資格情報を取得し、IoTデバイスを侵害することができました。

モバイルアプリからの資格情報の取得

攻撃者が侵害されたネットワークまたは敵対的なネットワークを使用してモバイルアプリへのトラフィックを傍受できる場合、攻撃者はユーザーパスワードを簡単に取得できます。仕組みは次のとおりです。

1.被害者は携帯電話で侵害された/敵対的なネットワークに接続します。

2.接続されたカメラアプリは、https経由でベンダーのサーバーに接続しようとします。

3.敵対的/侵害されたネットワークは、攻撃者のサーバーに接続をルーティングします。攻撃者のサーバーは、独自のSSL証明書を使用して、通信をベンダーのサーバーにプロキシします。

4.攻撃者のサーバーは、ユーザーパスワードの無塩のMD5ハッシュを保持するようになりました。

5.攻撃者は、ベンダーのサーバーとアプリの間の通信を改ざんすることもできます。

Webアプリからの資格情報の取得

このタイプの攻撃は、ユーザーが接続されたカメラへのデバイスアクセスを他のユーザーと共有できるようにする機能に依存しています。デバイスを共有するには、受信者はIoTベンダーとの有効なアカウントを持っている必要があり、送信者は受信者のユーザー名(たまたまメールアドレス)を知っている必要があります。

1.攻撃者は、XSSエクスプロイトをデバイス名に埋め込み、そのデバイスを被害者と共有します。

2.被害者がWebアプリを使用して自分のアカウントにログインすると、XSSエクスプロイトが実行され、アクセストークン(Webアプリに変数として保存されている)が攻撃者と共有されます。

3.そのアクセストークンを使用して、攻撃者は被害者のアカウントとそのすべての登録済みデバイスにアクセスできます。

この調査を通じて、Barracuda Labsチームは、デバイス自体に直接接続することなく、IoTデバイス(接続されたカメラ)を危険にさらすことに成功しました。これにより、攻撃者の生活が楽になります。 Shodan でスキャンする必要はもうありません 脆弱なデバイスの場合。

代わりに、攻撃はベンダーのインフラストラクチャに対して実行されます。これは、デバイスがクラウドと通信する方法を利用するため、機能に関係なく、他のタイプのIoTデバイスにも影響を与える可能性がある脅威です。

結局のところ、バグは製品に固有のものではなく、プロセス、スキル、および開発者の認識に固有のものです。 IoTデバイスのアクセスとアクセス制御がクラウドサービスに移行するにつれて、脆弱性も移行し、BarracudaLabsチームによって発見されたタイプの攻撃が可能になりました。

IoTメーカー向けのレッスン

IoTソリューションを作成するベンダーは、それらのデバイスの実行に使用されるアプリケーションのすべての側面を保護する必要があります。 IoTデバイスは、家庭、学校、オフィスに分散されたセンサーであり、攻撃者の潜在的なエントリポイントです。各顧客のネットワークは、サーバーコアと他の顧客への入り口です。

IoTベンダーが導入する必要のある最も重要な保護の1つであるウェブアプリケーションファイアウォールは、レイヤー7でHTTPトラフィックからサーバーを保護するように設計されています。メーカーは、ネットワークレイヤーの攻撃やフィッシングに対する保護も強化する必要があります。

クラウドセキュリティも重要であり、IoTアプリケーションとそれらが実行されるインフラストラクチャの可視性、保護、および修復を提供します。横方向の動きにさらされる可能性は大きく複雑であるため、適切なセキュリティ対策を講じることが重要です。

消費者として身を守る方法

IoTデバイスを購入する場合、消費者は利便性と価格に加えて、セキュリティについても考慮する必要があります。考慮すべきいくつかのヒントを次に示します。

  • デバイスメーカーを調査する — IoTデバイスを製造するいくつかの企業は、ソフトウェアのセキュリティを理解しています。ほとんどは、接続されている物理的な製品の製造に専門知識がある既存の企業か、デバイスをできるだけ早く市場に投入しようとしている新興企業のいずれかです。どちらの場合も、適切なソフトウェアとネットワークのセキュリティ対策は見過ごされがちです。
  • ベンダーの他のデバイスの既存の脆弱性を探します — 1つのデバイスに脆弱性がある場合、同じ会社の同様の機能を持つ他のデバイスにも脆弱性がある可能性があります。最終的に、安全なデバイスの歴史を持つベンダーは、将来的に安全なデバイスを構築する可能性があります。
  • 過去の脆弱性への対応を評価する —ベンダーが脆弱性を報告する人々に対応し、ファームウェアの更新でそれを迅速に解決する場合、それは彼らが作るセキュリティと将来の製品に関する彼らの見通しにとって良い前兆です。

残念ながら、IoTデバイスのセキュリティ体制について入手できる情報の量は驚くほど少ないです。理想的には、自動車と同じように、IoT製品がすべて安全性評価で評価される世界を手に入れる必要があります。消費者は、IoTデバイスに投資する前に通知を受ける必要があります。

このブログの作成者は、バラクーダネットワークスのCTOであるFlemingShiです。


モノのインターネットテクノロジー

  • 埋め込み
  • センサー
  • クラウドコンピューティング
  • モノのインターネットテクノロジー
    1. Ripple20:重大な脆弱性がIoT / OTデバイスを危険にさらしている可能性があります
    2. 大規模なIoTプロビジョニングの促進
    3. IoTデバイス用のよりスマートなメモリ
    4. 世界的なメリットを提供するIoT
    5. Armは、Stream Technologiesの買収により、IoT接続とデバイス管理機能を拡張します
    6. 適合して忘れる:未構成のIoTによってもたらされる脅威
    7. IoTデバイス組み込みハードウェアハッキングの概要
    8. オープンソースのIoT開発ツールとベンダーがサポートするツール
    9. IOTデバイスのソフトウェアテストの課題
    10. スマートデバイスとIoTで安全を保つ
    11. マルウェアがWindows7を実行しているIoTデバイスを攻撃する