Ученые обнаружили уязвимость, позволяющую атаковать IoT-устройства с веб-страниц
Исследователи из университетов Беркли и Принстона выяснили, что хакеры могут атаковать устройства Интернета вещей с помощью веб-страниц, в которые интегрированы вредоносные скрипты. Уязвимость была найдена в продуктах Google Home, Chromecast и других устройствах, включая интеллектуальные коммутаторы, умные телевизоры и сетевые камеры.
Обычно скриптам требуется около минуты для осуществления атаки: все это время пользователь должен оставаться на веб-странице, содержащей вредоносный код. Согласно докладу, который планируется представить в августе на конференции ACM SIGCOMM 2018, ученые обнаружили быстрый способ взлома с помощью DNS-пересоединения для установления контроля над подключенными устройствами.
Скрипт может содержать как сам сайт, так и баннер. Атака проходит в два этапа. Вначале скрипт сканирует локальные IP-адреса, ищет определенное устройство и его IP. Это занимает около семи секунд. На втором этапе происходит попытка DNS-пересоединения. После этого злоумышленник может получить контроль над устройством, а также извлечь из него информацию об уникальных идентификаторах, которые могут использоваться в том числе для определения точной геолокации пользователя.
Исследователи сообщили вендорам об уязвимости в апреле. Детали эксперимента будут представлены публике через 90 дней.
Подписаться на новости
Обсудить
Обычно скриптам требуется около минуты для осуществления атаки: все это время пользователь должен оставаться на веб-странице, содержащей вредоносный код. Согласно докладу, который планируется представить в августе на конференции ACM SIGCOMM 2018, ученые обнаружили быстрый способ взлома с помощью DNS-пересоединения для установления контроля над подключенными устройствами.
Скрипт может содержать как сам сайт, так и баннер. Атака проходит в два этапа. Вначале скрипт сканирует локальные IP-адреса, ищет определенное устройство и его IP. Это занимает около семи секунд. На втором этапе происходит попытка DNS-пересоединения. После этого злоумышленник может получить контроль над устройством, а также извлечь из него информацию об уникальных идентификаторах, которые могут использоваться в том числе для определения точной геолокации пользователя.
Исследователи сообщили вендорам об уязвимости в апреле. Детали эксперимента будут представлены публике через 90 дней.
«Мы считаем, что встроенная в браузер защита остается открытой исследовательской проблемой», - подчеркивают авторы эксперимента.
Назад