Web Bluetooth API принесёт новые угрозы в мир Интернета вещей

Одним из неотъемлемых компонентов Интернета вещей является прикладной слой для подключения к Сети. Для этой цели разрабатывается новый стандарт Web Bluetooth API, который даст возможность пользователям любых устройств с поддержкой Bluetooth Low Energy управлять ими из браузера, а также позволит реализовать разнообразные полезные функции благодаря доступу к Bluetooth API IoT-устройств.

Недавно была опубликована черновая версия спецификации. Её проанализировал приглашённый организацией W3C специалист по защите информации Лукаш Олейник (Lukasz Olejnik) и пришёл к выводу, что с безопасностью здесь пока не всё гладко. По мнению Лукаша, у Web Bluetooth API есть проблемы с защитой приватности. Во-первых, злоумышленники с помощью Web Bluetooth API могут узнать имя устройства, а пользователи во многих случаях называют домашние устройства своим именем (фамилией, псевдонимом) или именами близких. Казалось бы, эта информация незначительна, но в комплексе с другими данными может поспособствовать атаке. Более высокую опасность представляет поведенческий анализ. Веб-сайты или злоумышленники смогут составить специфический запрос, например, с целью слежения за чувствительными данными, а также обойти механизм защиты, получая возможность следить за перемещениями владельца IoT-устройства. Этот вызов является уже гораздо более серьёзным.

                 Теперь атаковать IoT-устройства можно будет, не отходя от браузера

По мнению Лукаша, Web Bluetooth API ощутимо расширит число потенциальных злоумышленников. Ведь теперь для атаки достаточно будет браузера с доступом в Интернет. Стоит отметить, что опасения экспертов оправданны. Мы уже сегодня знаем, что производители IoT-устройств не всегда уделяют должное внимание безопасности своих продуктов. Конечные потребители также мало интересуются проблемами безопасности, что создаёт благоприятную атмосферу для появления масштабных ботнетов. Примеров таких зловредных сетей из сотен тысяч IoT-устройств, которые используются для мощных DDoS-атак, в последнее время появилось слишком много. Поэтому Лукаш Олейник надеется, что в финальной версии спецификации будут учтены все аспекты безопасности.