Пробелы в контроле доступа к IoT-устройствам подвергают пользователей риску атак

[Artifact]

Одна из проблем позволяет продлевать доступ к устройству после удаления временных разрешений.

Команда исследователей в области кибербезопасности из Индианского университета в Блумингтоне (США) и Нанькайского университета в Тяньцзине (Китай) обнаружила пробелы в безопасности контроля доступа к IoT-устройствам.
Контроль доступа к IoT-продуктам часто осуществляется с помощью облаков, управляемых поставщиками устройств (Philips Hue, LIFX и Tuya) или облачными провайдерами (Google и Amazon). Облака контролируют доступ пользователей к определенным устройствам, предоставляя разрешение снять «умную» блокировку.
Исследователей заинтересовала возможность делегировать доступ к IoT-продуктам между несколькими облаками и пользователями. Некоторые поставщики позволяют Google Home контролировать доступ к устройствам в своих облаках. Проблемы возникают, когда одно облако неосознанно нарушает операции безопасности другого облака. В таких случаях устройства неспособны полностью отозвать доступ в ответ на запрос пользователя. Проблема заключается в протоколах поставщиков. Каждый поставщик независимо разрабатывает собственный протокол делегирования с неявными предположениями о безопасности, но протоколы от разных поставщиков должны работать вместе.
«Когда протоколы работают вместе, их предположения о безопасности могут противоречить друг другу, и один поставщик не полностью осознает последствия или предположения работы другого поставщика с точки зрения безопасности», - пояснили эксперты.
Одна из проблем позволяет продлевать доступ к устройству после удаления временных разрешений. Например, арендодатель предоставляет гостю временный доступ к «умному» замку жилья, но гость по-прежнему сможет разблокировать его даже после отъезда.
Эксперты обнаружили пять опасных проблем, эксплуатация которых позволяет получить несанкционированный доступ к IoT-устройствам.
Исследователи считают, что делегирование доступа между поставщиками полезно для пользователей, однако лежащие в основе этого механизма протоколы должны разрабатываться с большей осторожностью. Обо всех обнаруженных проблемах исследователи сообщили поставщикам. Подробные результаты исследования специалисты представят на конференции Black Hat Asia 7 мая нынешнего года.