Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Пробелы в контроле доступа к IoT-устройствам подвергают пользователей риску атак (http://txgate.io:443/showthread.php?t=15014)

Artifact 05-02-2025 04:26 PM

Одна из проблем позволяет продлевать доступ к устройству после удаления временных разрешений.
https://www.securitylab.ru/upload/ib...3c982cd1d6.jpg
Команда исследователей в области кибербезопасности из Индианского университета в Блумингтоне (США) и Нанькайского университета в Тяньцзине (Китай) обнаружила пробелы в безопасности контроля доступа к IoT-устройствам.
Контроль доступа к IoT-продуктам часто осуществляется с помощью облаков, управляемых поставщиками устройств (Philips Hue, LIFX и Tuya) или облачными провайдерами (Google и Amazon). Облака контролируют доступ пользователей к определенным устройствам, предоставляя разрешение снять «умную» блокировку.
Исследователей заинтересовала возможность делегировать доступ к IoT-продуктам между несколькими облаками и пользователями. Некоторые поставщики позволяют Google Home контролировать доступ к устройствам в своих облаках. Проблемы возникают, когда одно облако неосознанно нарушает операции безопасности другого облака. В таких случаях устройства неспособны полностью отозвать доступ в ответ на запрос пользователя. Проблема заключается в протоколах поставщиков. Каждый поставщик независимо разрабатывает собственный протокол делегирования с неявными предположениями о безопасности, но протоколы от разных поставщиков должны работать вместе.
«Когда протоколы работают вместе, их предположения о безопасности могут противоречить друг другу, и один поставщик не полностью осознает последствия или предположения работы другого поставщика с точки зрения безопасности», - пояснили эксперты.
Одна из проблем позволяет продлевать доступ к устройству после удаления временных разрешений. Например, арендодатель предоставляет гостю временный доступ к «умному» замку жилья, но гость по-прежнему сможет разблокировать его даже после отъезда.
Эксперты обнаружили пять опасных проблем, эксплуатация которых позволяет получить несанкционированный доступ к IoT-устройствам.
Исследователи считают, что делегирование доступа между поставщиками полезно для пользователей, однако лежащие в основе этого механизма протоколы должны разрабатываться с большей осторожностью. Обо всех обнаруженных проблемах исследователи сообщили поставщикам. Подробные результаты исследования специалисты представят на конференции Black Hat Asia 7 мая нынешнего года.


All times are GMT. The time now is 05:11 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.