Умные маски для сна оказались уязвимы: данные о мозговой активности передавались без защиты

Разработчик Аймилиос Хацистаму обнаружил уязвимость в «умной» маске для сна, купленной на Kickstarter.
Устройство передавало данные о мозговой активности пользователей через MQTT-сервер с общими логином и паролем для всех устройств. В результате можно было получить доступ не только к своей маске, но и к данным других пользователей.
Хацистаму начал проверку после того, как заметил сбои в приложении. Маска умеет отслеживать ЭЭГ, имеет подогрев, вибрацию, динамики и систему электростимуляции вокруг глаз. Изучив код приложения, разработчик обнаружил адрес сервера и учетные данные для подключения.
Оказалось, через этот сервер проходят данные всех устройств производителя – масок до других IoT-датчиков. Более того, через него можно не только читать информацию, но и отправлять команды, например включить звук или электростимуляцию на чужом устройстве.
Комментирует эксперт РОЦИТ Алексей Парфун.
#РОЦИТ #кибербезопасность #IoT