HP informuje, że informatycy (zatrudnieni w oddziale Fortify) wykryli w testowanych urządzeniach (które nie są wymienione z nazwy) ok. 250 dziur. Oznacza to, że na jedno urządzenie przypada średnio aż 25 dziur. A były to różnego rodzaju zagrożenia, wśród których znalazły się takie eksploity jak Heartbleed czy luki umożliwiające przeprowadzanie ataków Denial of Service oraz „cross site scripting”, po proste luki w rodzaju braku hasła czy haseł w rodzaju „12345”.

Aż sześć urządzeń zawierało np. luki umożliwiające przeprowadzanie ataków typu „cross-site scripting”. Blisko 70% urządzeń świadczyło otwarte usługi sieciowe (czyli kompletnie niechronione, bez szyfrowania), aż proszące się o to, aby przejąć nad nimi kontrolę po przeprowadzeniu prostego ataku „man-in-the-middle”.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• HP – oferta wsparcia środowiska pracy w jednym miejscu

Oprogramowanie firmware zarządzające większością urządzeń nie było też w żaden sposób chronione, a operacja aktualizowania tego oprogramowania była realizowana bez użycia nawet najprostszej metody zapobiegającej włamaniom, jaką jest np. szyfrowanie przesyłanych danych.

Biorąc pod uwagę fatalne wyniki testów, HP apeluje do producentów urządzeń IoT o zapoznanie się z dokumentem opublikowanym przez OWASP (Open Web Application Security Project), w którym wymieniono 10 największych problemów bezpieczeństwa, na jakie należy zwrócić szczególną uwagę projektują tego typu rozwiązania.

Pełny tekst raportu znajduje się tutaj.