Более 100 тыс. IoT устройств содержат уязвимости

Более 140 000 интернет-устройств для CCTV систем содержат уязвимости нулевого дня, бэкдоры, неизменяемые легко взламываемые пароли и закрытые ключи. Такой результат показал первый масштабный анализ прошивки во встраиваемых устройствах.

Четыре исследователя из EURECOM France обнаружили ошибки при проведении простого, но систематического, автоматизированного и масштабного анализа 32 356 прошивок, работающих на встраиваемых системах в пределах тысячи различных устройств.

Из них 693 имели, по крайней мере, одну уязвимость в то время как 38 содержали активные бреши нулевого дня.

Десятки возможных бэкдоров, таких как "авторизированные SSH-ключи" были обнаружены наряду с административными учетными данными для 101 000 устройств и, по меньшей мере, 2000 устройств содержали неизменяемые учетные данные для доступа через telnet.

Неназванное приложение с вредоносным ПО было обнаружно в Google Play с известным дистанционным бэкдором после того, как исследователи принялись искать уязвимость. Полмиллиона пользователей скачали приложение с вредоносом, который мог быть доступен для злоумышленников, пересылающих широковещательные пакеты на свои устройства. Тот же бэкдор был внедрен в 44 модели домашних маршрутизаторов неназванного производителя.