Компании, предоставляющие услуги аренды, такие как электросамокаты или зарядные станции для электромобилей, жертвуют безопасностью ради удобства пользователей, применяя архитектуру интернета вещей. В результате их инфраструктура становится уязвимой для кибератак.
Источник изображения: JUICE / unsplash.com
Китайский исследователь Хэтянь Ши (Hetian Shi) на специализированной конференции показал, насколько такие сервисы подвержены стандартным кибератакам. Он выяснил, что арендные платформы, основанные на интернете вещей, имеют архитектурные уязвимости: оборудование оснащается портами, подключившись к которым, злоумышленник с нужными навыками способен обнаружить слабые места.
В прошивках устройств и серверных компонентах нередко применяются общие ключи аутентификации, а клиентские приложения арендных сервисов также имеют слабую защиту. Взломав приложение, хакер может, к примеру, создавать фиктивных клиентов, которых поставщик услуг не отличит от реальных — такие «призрачные» пользователи позволяют эксплуатировать арендную технику бесплатно. Кроме того, под угрозой оказываются личные данные клиентов, поскольку получить доступ к серверной части не составляет большого труда.
Свои выводы Хэтянь Ши подтвердил наглядной демонстрацией. Он разработал универсальный инструмент для взлома арендных сервисов под названием IDScope и показал его работу на iOS-приложении одной из популярных в Китае сетей зарядных станций для электромобилей. Исследователь попросил аудиторию выбрать город — выбор остановился на Шанхае, — затем указал на одну из станций в центре, ввёл её идентификатор в приложении и передал его в свой скрипт. Спустя секунду или две зелёный значок («Свободно»), соответствующий зарядному устройству, сменился на серый («Отключено»).
Слабая защита сервисов, построенных на архитектуре интернета вещей, позволяет не только взламывать оборудование, но и проводить DDoS-атаки на такие системы, выводя из строя целые городские сети зарядных станций для электромобилей. Исследователь также проверил 11 приложений европейских поставщиков услуг и обнаружил в них аналогичные недостатки, заключив, что подобные уязвимости характерны для таких сервисов по всему миру.
