Investigadors de la North Carolina State University, han identificat defectes de disseny en dispositius d’Internet-of-Things (IoT) que permeten a tercers evitar que els dispositius comparteixin informació.
Els dispositius IoT són cada vegada més habituals, i hi ha una expectativa en que puguin contribuir a la seguretat, però s'han trobat que hi han errors generals en el disseny d'aquests dispositius que poden impedir que notifiquin als propietaris sobre problemes o que afectin altres funcions de seguretat.
 |
| Font: Amazon |
Essencialment, els dispositius estan dissenyats amb el supòsit que la connectivitat sense fils sigui segura i no es perdi, la qual cosa no sempre és així.Tanmateix, ja s'han identificat possibles solucions que poden solucionar aquestes vulnerabilitats.
Concretament, els investigadors han descobert que si tercers poden piratejar un router d’una casa, o si ja saben la contrasenya, poden carregar el malware de supressió de la capa de xarxa al router. El malware permet als dispositius carregar els seus senyals de "batecs", que indiquen que estan en línia i funcionals, però que bloqueja els senyals relacionats amb la seguretat, com ara quan s'activa un sensor de moviment. Aquests atacs de supressió es poden fer in-situ o de forma remota.
Una de les raons per les quals aquests atacs són tan problemàtics és que el sistema està dient als propietaris que tot està bé, independentment del que realment succeeix.
 |
| Font: Google |
Aquests atacs de supressió de la capa de xarxa, són possibles perquè, per a molts dispositius IoT, és fàcil distingir els senyals de 'batecs de cor' d'altres senyals i aixó, per fer front a aquesta funció de disseny pot indicar el camí cap a una solució.
Una solució potencial seria fer que els senyals de 'batecs del cor' no poguessin distingir-se d'altres senyals, de manera que el programari maliciós no podria permetre que passessin els senyals del 'batecs'.
 |
| Font: Theconversation.com |
Un altre enfocament seria incloure més informació en el senyal del 'batec del cor', per exemple, si un dispositiu envia tres alertes de sensor de moviment, el senyal de 'batecs' posterior inclouria dades que indiquin que s'han enviat tres alertes de sensors. Encara que el programari de supressió de la capa de xarxa bloquegi els senyals d'alerta del sensor, el sistema veuria el senyal del 'batec' i també sap que es van enviar tres alertes de sensors, però no es van rebre. Això podria desencadenar un avís del sistema per als propietaris.
Cap sistema serà perfecte, però tenint en compte l'adopció generalitzada de dispositius IoT, és important conscienciar sobre les contramesures que els dissenyadors de dispositius poden utilitzar per reduir la seva exposició als atacs.
Font: North Carolins State University
Cap comentari:
Publica un comentari a l'entrada