Эксперты по безопасности из IBM X-Force Red и компании Threatcare исследовали три различные системы от разных производителей разных стран и нашли в них 17 уязвимостей нулевого дня, в том числе восемь критических уязвимостей.
В поле зрения специалистов попал IoT-шлюз Meshlium производства испанской Libelium (устройство для наблюдения за показаниями сенсоров), серверы i.LON 100 / i.LON SmartServer и i.LON 600 производства Echelon (США), а также устройства для обмена данными между подключенным транспортом и инфраструктурой V2I Hub v5.1 и V2I Hub v3.0 от американской компании Battelle.
В Meshlium эксперты нашли четыре способа внедрения вредоносных команд в Meshlium, которые позволяли хакеру подменить показания датчиков, блокировать и фальсифицировать уведомления о происшествиях. В серверах Echelon исследователи обнаружили уязвимость, которая позволила обойти процедуру аутентификации, возможность заменить логины и пароли, манипулировать с именем директории, в которую хочет проникнуть взломщик. Также все (!) серверы систем для умных городов, которые проверили эксперты, имеют учетные данные по умолчанию, имеют функцию подключения по незашифрованному каналу и хранят пароли в виде текста.
Напоминаем, что ранее в мае стало известно, что в 25 атомных городах России внедрят систему «умный город». О конкретных используемых системах и технологиях подробностей пока не сообщалось. Опасения внушает тот факт, что в РФ на текущий момент полная несогласованность даже по используемым официально стандартам для умных устройств. Одновременно разные сети развертывают «ЭР-Телеком» — в 25 городах, в этом году сети на базе технологии LoRaWAN появятся в 62 городах; МТТ — компания объявила, что в 2018 году собирается запустить IoT-сети в обеих столицах, а также в Казани, Екатеринбурге и Нижнем Новгороде, также LoRaWAN. При этом в раскритикованном экспертами апрельском проекте «нацстандарта IoT» заложен формат NB-Fi, а в реальных региональных инициативах — другие несовместимые IoT-форматы.