Маячки малопомітні, компактні бездротові пристрої, які постійно транслюють крихітні пакети даних про місцезнаходження та датчиків за допомогою Bluetooth Low Energy (СТАЛИ) сигнали. Коли в діапазоні, сумісні смартфони можуть отримувати ці передачі, щоб уможливити безліч варіантів використання на основі місцезнаходження — від цільової реклами до відстеження контактів і відстеження активів. Для будь-якого бізнесу, що розгортає маяки, забезпечення надійного захисту радіомаяка є обов’язковим.
Чому безпека маяків важлива
Ця універсальність сприяла швидкому глобальному впровадженню технології маяків у різних галузях, з перевищенням розміру ринку розумних маяків $127.4 млрд 2032. Однак, хоча з великою частиною цього потенціалу, виникає підвищений ризик безпеки та зловживання даними користувача. Дослідження показують, що більшість споживачів турбуються про маяки “відстежуючи кожен ваш рух” з інфраструктури зовнішнього маяка. І ці побоювання справедливі — недоліки в інфраструктурі маяків, пристроїв, або використання може розкрити конфіденційні дані користувача та корпоративні дані. Для будь-якого бізнесу, що розгортає маяки, забезпечення надійного захисту зараз є обов’язковим.
Крім того, впровадження маяків швидко переходить від етапу впровадження до серйозного бізнесу, що потребує більших грошей, треті особи, та інформацію, яка цікавить більшість людей.
У пристроях IoT, безпека - друга найважливіша річ. Коли маячок увімкнений і добре закріплений, це єдиний раз, коли він ефективно виконує свою роботу, як-от місцезнаходження на відстані, передача даних через захищені канали, або взаємодія з реальним світом навколо маяка.
Як працюють маяки та ризики безпеки
Маяки використовують технологію BLE для зв’язку з найближчими смартфонами та планшетами. Фактично вони передають у двох ключових режимах:
- Режим реклами: Багаторазово транслює односторонній загальний пакет, що містить лише ідентифікатор маяка.
- Режим підключення: Встановлює двосторонній, зашифроване з’єднання даних між двома пристроями.
Більшість додатків для роздрібної торгівлі та наближення покладаються на режим реклами для виявлення споживчих смартфонів. Поки в зоні дії, маяк ідентифікує телефон, але не отримує доступу до особистих даних. Таким чином, суто трансляційні маяки не можуть «відстежувати» користувачів з точки зору збору інформації. Однак, мережа маяків у поєднанні з мобільним додатком бренду дозволяє відстежувати клієнтів у магазинах для аналітики чи залучення. Користувачі погоджуються на цей рівень відстеження через умови використання програми та дозволи, як-от увімкнення Bluetooth. Варто зазначити, що ви можете вимкнути служби визначення місцезнаходження та Bluetooth на своєму пристрої, щоб вимкнути виявлення маяків.
Вивчення типової екосистеми маяка
У той час як самі маяки є відносно простими трансляційними пристроями, ширші екосистеми, побудовані навколо них, містять багато взаємопов’язаних компонентів:
Ці компоненти екосистеми маяків значно відрізняються залежно від розгортання продуктів. Безперервні оцінки безпеки всіх точок взаємодії в екосистемі є ключовими для забезпечення надійності захисту навіть у разі появи нових загроз.
- Вбудовані апаратні маякові пристрої – Передавачі BLE, виробництва таких компаній, як MOKOSmart і Kontakt.io. Доступний для $5 до $30 на одиницю. Важливо переконатися, що обладнання має захист від модифікації коду або втручання.
- Хмарні веб-сервіси – Централізовані сховища, де компанії керують метаданими зареєстрованих маяків (час автономної роботи, локації, дані датчика тощо.) і аналізувати сукупну телеметрію. Важливо належним чином захистити всі дані, що зберігаються в хмарі. Також, переконайтеся, що всі функції API належним чином автентифіковані та не мають вразливостей, які дозволяють зловмисні атаки або доступ до неавтентифікованих даних.
- Програмне забезпечення для керування маяками – Панелі адміністратора від постачальників, що дозволяють масово налаштовувати параметри маяків замість кожного пристрою. Необхідно шифрувати передачу та зберігання даних, а також забезпечувати безпеку (OTA) оновлення прошивки.
- Мобільні програми кінцевого користувача – Програми на споживчих смартфонах і планшетах виявляють передані сигнали радіомаяка поблизу та використовують дані про місцезнаходження для забезпечення взаємодії. Для автентифікації необхідне суворе тестування, збір даних, шифрування зв'язку тощо.
Поширені експлойти маяків – як атакують маяки
Кожен зв’язок у маяку Bluetooth декодується та відбувається чітко. Оскільки маяки швидко стають шлюзами для складних з'єднань, деякі люди все частіше використовують їх не за призначенням, що призводить до атак. Через маяки можна атакувати:
Контрейлерство & Маяки клонування
Підключення відбувається, коли хакери підглядають за маяком, захопити його UUID, майори, та Неповнолітні, і додавати їх до своєї програми без згоди власника. Хакери можуть покладатися на інфраструктуру маяків у своїх програмах, оскільки більшість маяків передають той самий сигнал протягом кількох років.. Хоча безкоштовно ділитися інфраструктурою маяка з незнайомцями стає незручно, це не має негативного впливу на клієнтів і не шкодить програмі.
Щоразу, коли хакери захоплюють інформацію маяка, вони також можуть легко клонувати маяк. Клонування передбачає копіювання конфігурації маяка та встановлення його для іншої програми, тим самим вводячи користувачів в оману. Це руйнівно, оскільки хакер контролює, де і коли активується маяк, але він все одно запускає платежі додатків.
Викрадення маяків
Маяки налаштовані таким чином, що вони лише спілкуються, але не можуть шифрувати надіслану їм інформацію. Тому, при посиланні на маяк і хакер бачить пароль, який ви використовували для підключення, вони можуть використовувати або змінювати його так, що підключення стає неможливим. Це дає хакеру повний контроль над вашим маяком, піддаючи ризику всю вашу інфраструктуру IoT.
Злом Bluetooth-маяків
Навіть якщо маяк захищений від віддалених атак, хтось все ще може перевірити пам’ять маяка, фізично знявши маяк зі стіни та відкривши його. Хоча такий вид атаки має низьку ймовірність появи, все ще важливо захистити свій маяк від цього, якщо у вас є маяк, який контролює конфіденційні програми.
Вирішення кожного з цих поширених шляхів атаки вимагає старанного захисту від людей, процеси та технології — координація безпеки ланцюга постачання обладнання, управління доступом до хмари, вказівки щодо налаштування маяків тощо.
Як зробити маячки більш безпечними
Ніхто не зміг захистити маяки від атак, оскільки це досить складно. Незважаючи на те, що багато компаній розробили стратегії для захисту своїх маяків від контрагентів, а виробники чіпів захищають пристрої від злому., ці зусилля марні, оскільки вони не охоплюють весь ланцюжок даних. Крім того, ніхто не розробив механізм, який може захистити пристрої від викрадення. Оскільки технологія маяка надзвичайно проста, ви можете використовувати наступні механізми безпеки маяка, щоб ефективно захистити свій маяк від усіх видів атак.
Безпечний зв'язок
Безпечний зв’язок захищає маяки від викрадення. Це кіберпротокол маяка, який використовує Bluetooth Low Energy (СТАЛИ) і підтримується різними пристроями. Весь канал зв'язку повністю зашифрований від маяка до керуючого пристрою. Маяк, налаштований за допомогою безпечного з’єднання, неможливо зламати, оскільки він має наскрізне шифрування та не потребує передачі пароля між SDK і маяками. Цей захищений канал зв’язку керується через SDK або Proximity API. Будь-маяк із цим каналом зв’язку належним чином захищений від будь-яких атак. Це пояснюється тим, що пристрій ефективно захищено від будь-якої зловмисної атаки, яку можуть спробувати використати хакери.
Блокування програмного забезпечення
Програмне блокування може захистити всі наші маяки від прямого злому. Будь-яка спроба отримати доступ до пам’яті пристрою з програмним блокуванням видаляє всі дані в пам’яті. Хоча прості конфігурації маяків залишаються доступними, зломщик не може отримати доступ до іншої інформації. Коли на вашому маяку встановлено програмне блокування, ви можете бути впевнені, що ваша інфраструктура безпечна. Спочатку, ми мали цю послугу в усіх наших маяках, але тепер ми робимо це лише тоді, коли це потрібно клієнтам, оскільки деякі розробляють прошивку самостійно.
Використання безпечного UUID для реклами iBeacon
Secure UUID — це механізм безпеки, який захищає справжній ідентифікатор маяка. Це дає вам кращий контроль над доступом до сигналу маяка. Цей необов’язковий доданий рівень безпеки рекомендується для кожного розгортання маяка.
Під час виготовлення, кожному маяку може бути призначений унікальний ключ маяка. Ключ може бути розпізнаний лише маяком або хмарною платформою IoT. Під час шифрування та дешифрування видимого ідентифікатора маяка, безпечні алгоритми UUID використовують ключ маяка разом із міткою часу останньої ротації.
Оскільки маяк відповідає за шифрування, він створює новий ідентифікатор видимого маяка відповідно до його унікального інтервалу обертання. Маяк передає нові видимі ідентифікатори в пакеті iBeacon. Дешифрування відбувається в хмарі, яка розпізнає ключ маяка, тим самим винятково розпізнаючи маяк. Між маяком і хмарою є пристрій iOS/Android. Пристрій прослуховує видимі ідентифікатори маяка та зв’язується з хмарою, щоб виявити справжній ідентифікатор маяка.
Оскільки пристрій діє лише як проксі, він не може розпізнати ключ маяка. Отже, зловмисна сторона може легко видалити ключ із вашої програми та розшифрувати будь-який видимий ідентифікатор маяка в майбутньому. Цьому можна запобігти, налаштувавши розшифровку в хмарі, хоча для роботи безпечного UUID повинне бути активне підключення до Інтернету.
Що далі щодо захисту ваших маяків
Якщо ви шукаєте спосіб захистити свої маяки від будь-якої атаки, тоді ви в потрібному місці. MOKOSmart є світовим лідером із високою якістю Маяки Bluetooth. Завжди раді відвідати або зв’язатися з нами для отримання додаткової допомоги.
