« Capturez » vos appareils IoT et améliorez leur sécurité

IdO

Crédit : Pixabay/CC0 domaine public

Les cyberattaques sur les appareils IoT n’ont montré aucun signe de ralentissement alors que de plus en plus de vulnérabilités sont connues.

Alors que la plupart de ces attaques se produisent en raison de mauvaises configurations des appareils ou de mots de passe faibles, les chercheurs en sécurité s’inquiètent de l’utilisation intensive de bibliothèques tierces – des collections de code que les fournisseurs peuvent utiliser dans le logiciel de leurs appareils – au lieu d’écrire du code à partir de zéro. Leur réflexion est la suivante : si des vulnérabilités de sécurité existent dans ces bibliothèques, chaque fournisseur qui les utilise serait également affecté. En d’autres termes, un grand nombre d’appareils IoT peuvent être affectés par des vulnérabilités dans les bibliothèques couramment utilisées.

« Les bibliothèques vulnérables conduisent à des appareils vulnérables, qui menacent la sécurité globale des maisons des utilisateurs », déclare Han Zhang, Ph.D. de CyLab. étudiant au Département d’informatique (CSD).

Lors du Symposium USENIX sur la sécurité de cette semaine, Zhang a présenté une nouvelle étude qui montre à quel point ce problème est omniprésent. Zhang et ses co-auteurs ont examiné 122 micrologiciels IoT différents pour 27 appareils domestiques intelligents différents, publiés sur une période de huit ans. Leurs objectifs étaient d’apprendre à quel point l’utilisation de bibliothèques communes est répandue parmi les fournisseurs de périphériques, si ces bibliothèques sont mises à jour pour corriger les vulnérabilités et s’il y a eu des retards importants dans la mise à jour de ces bibliothèques corrigées par les fournisseurs dans leur propre micrologiciel de périphérique.

Il s’avère que le problème est assez répandu.

« Nous avons constaté que les fournisseurs mettent à jour les bibliothèques très rarement et qu’ils utilisent la plupart du temps des versions obsolètes et souvent vulnérables », explique Zhang.

Les chercheurs ont découvert que certaines bibliothèques avaient des centaines de jours de retard dans l’application des correctifs de sécurité critiques mis à la disposition du public. Zhang dit qu’il est problématique de s’appuyer sur des fournisseurs IoT individuels pour mettre à jour rapidement les bibliothèques qu’ils utilisent ; cela demande trop d’efforts mais offre très peu en retour.

« Mais si elles ne parviennent pas à se mettre à jour », dit Han, « … les bibliothèques vulnérables imposent une menace énorme à l’environnement IoT domestique. »

Pour aider à atténuer le défi des bibliothèques mal gérées, l’équipe a proposé un nouveau système, « Capture », qui permet aux appareils sur un réseau local tel qu’un réseau Wi-Fi domestique unique de tirer parti d’un hub centralisé avec des bibliothèques tenues à jour. Avec Capture, disent les chercheurs, la collection d’appareils intelligents d’une maison fonctionnerait toujours à l’aide de bibliothèques mises à jour et sécurisées.

Les chercheurs ont testé leur système et ont montré que plusieurs exemples d’appareils IoT peuvent être modifiés avec succès pour utiliser Capture avec un changement minimal dans les performances des appareils.

« Capture peut fournir des protections de sécurité supplémentaires actuellement absentes dans les environnements IoT domestiques pour empêcher les attaquants locaux et Internet », déclare Matt Fredrikson de CyLab, professeur au CSD et à l’Institute for Software Research (ISR), ainsi qu’un co-auteur de l’étude. .

Non seulement les utilisateurs d’appareils domestiques intelligents bénéficieraient de l’utilisation de Capture, dit Zhang, mais les vendeurs d’appareils eux-mêmes peuvent être incités à l’utiliser car cela décharge l’entretien de la sécurité auquel ils échouent souvent de toute façon.

Les chercheurs reconnaissent quelques limitations importantes du système, telles que le fait que Capture crée un point de défaillance unique. Ces limites sont des domaines de travail futur.

« Alors que nous continuons à déployer une grande variété d’appareils intelligents dans nos maisons et nos bureaux, trouver des moyens de garantir la sécurité et d’assurer aux utilisateurs leurs pratiques en matière de confidentialité sera crucial pour la confiance des consommateurs et une adoption généralisée », a déclaré Yuvraj Agarwal de CyLab, professeur dans l’ISR et co-auteur de l’étude.

Le code de Capture est open source et disponible sur Github.


Les vulnérabilités Wi-Fi récemment découvertes appelées FragAttacks mettent tous les appareils mobiles en danger


Plus d’information:
Article : www.usenix.org/system/files/sec21-zhang-han.pdf

Lien Github : github.com/synergylabs/iot-capture

Fourni par l’Université Carnegie Mellon

Citation: ‘Capturez’ vos appareils IoT et améliorez leur sécurité (2021, 17 août) récupéré le 17 août 2021 sur https://techxplore.com/news/2021-08-capture-iot-devices.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.