Egy európai szakértőkből álló kutatócsoport egy nemrég kiadott, az IoT-eszközök biztonságát vizsgáló tanulmányában megerősítette azt a már korábban többször is hallható véleményt, mely szerint bizonyos eszközök szoftverei különösen sérülékenyek. A kutatás az úgynevezett COTS (commercial off-the-shelf) kereskedelmi kategóriába tartozó, beágyazott szoftverrel rendelkező eszközök (routerek, modemek, VoIP telefonok, IP/CCTV kamerák) firmware-ét és webes interfészét vizsgálta.

A kutatók megjegyzik, hogy tisztában vannak azzal, hogy nem egyszerű egy biztonságos webes alkalmazást megírni, ugyanakkor azt találták, hogy az általuk feltárt sebezhetőségek 70 százaléka a webes alkalmazás rétegben található, és egy képzett támadó ezeket a réseket ki tudja használni.

A vizsgálat során a felmerülő nehézségek miatt nem a konkrét, valaki által birtokolt eszközöket tesztelték, hanem létrehoztak egy olyan automatizált keretrendszert, mely a firmware-képeket egy szoftveres környezetben futtatta.

Az emulált rendszerben 54 gyártó 1925 firmware-képét tesztelték le, és összesen 9271 sebezhetőséget találtak 185 szoftverben – ez a gyártók mintegy negyedét érintette. Kiemelik, hogy kicsivel több mint 8 százaléka a tesztelt programoknak a szerveroldalon PHP-kódokat és legalább egy sebezhetőséget tartalmazott. A dinamikus vizsgálat során 246 webes interfészt teszteltek: 21 firmware-csomag sérülékeny volt a command injection támadásra, 32 XSS-hibát tartalmazott, 37 esetében pedig CSRF-támadásra nyílott lehetőség biztonsági rés miatt.

A kutatók szerint az általuk feltárt hibák nagy számának oka, hogy nagyon sok gyártó nem érdekelt abban, hogy pénzt és időt szánjon eszközei biztonságosságára. De, vélik a szakemberek, az IoT robbanásszerű terjedése miatt ez a helyzet egészen biztosan változni fog, mivel a rossz szándékú támadók le fogják rohanni ezeket az eszközöket.