Китайский эксперт Хэтянь Ши (Hetian Shi) на конференции доказал: сервисы аренды электровелосипедов и зарядных станций крайне уязвимы. Проблема кроется в архитектуре интернета вещей, где удобство пользователей ставится выше безопасности.
Устройства оснащены открытыми портами, дающими злоумышленникам прямой доступ к поиску багов.
В прошивках и серверах часто встречаются общие ключи аутентификации.
Клиентские приложения имеют слабую защиту, позволяя создавать «фантомных» пользователей для бесплатного использования техники.
Доступ к серверной части грозит утечкой личных данных клиентов.
Слабая реализация IoT-сервисов открывает путь не только к взлому оборудования, но и к DDoS-атакам, способным парализовать городские сети зарядных устройств. Исследователь проверил 11 приложений европейских провайдеров и подтвердил: уязвимости глобальны.
Для наглядности Хэтянь Ши представил инструмент IDScope. На демонстрации он ввел идентификатор станции в центре Шанхая в скрипт. Через пару секунд статус зарядки изменился с «Свободно» (зеленый) на «Отключено» (серый), показав реальную уязвимость инфраструктуры.