In de eerste 6 maanden van 2021 zijn er meer dan 1,5 biljoen aanvallen uitgevoerd op IoT apparaten. In 2020 waren dit er al 639 miljoen. Dit betekent dat in 1 jaar tijd het aantal aanvallen op IoT apparaten is gestegen met meer dan 100%. De OWASP IoT Top 10 is in 2018 uitgebracht. Security experts over de hele wereld hebben samengewerkt om de top 10 kwetsbaarheden te identificeren. Deze top 10 dekt natuurlijk niet alle kwetsbaarheden die zijn te vinden in deze apparaten. Echter, zijn dit de meest voorkomende en dragen ze bij aan een goede basis voor de door ons aangeboden beveiligingstests.
Veel IoT apparaten worden uitgebracht met standaard inloggegevens. Deze zijn soms ook hardcoded, dit betekent dat de gebruiker de inloggegevens niet kan veranderen. Deze wachtwoorden zijn vaak te vinden in gebruikershandleidingen. Kwaadwillende kunnen deze dan ook vinden. Daarnaast zijn de standaard inloggegevens vaak makkelijk te kraken of te raden.
Een IoT apparaat kan verschillende netwerk interfaces hebben. Bijvoorbeeld, Bluetooth en Wi-Fi. Deze netwerk interfaces zijn vaak niet uitgeschakeld als ze niet in gebruik zijn. Dit geeft kwaadwillende de mogelijkheid om het apparaat te exploiteren. Dit kan leiden tot data lekken en ongeautoriseerde toegang.
Het ecosysteem van een IoT apparaat bestaat uit verschillende onderdelen. Een voorbeeld van deze onderdelen zijn API’s, cloud, of mobiele applicaties. Deze onderdelen hebben vaak een gebrek aan (goede) encryptie, authenticatie, gebruikers invoer en uitvoer filtering.
IoT apparaten worden vaak geüpdatet na productie, deze updates zijn er om het apparaat te verbeteren, het weghalen van fouten in de software, of om kwetsbaarheden weg te halen. De mogelijkheid om het apparaat veilig te updaten wordt vaak over het hoofd gezien. Het apparaat hoortde firmware te controleren, zodat het apparaat weet of de firmware malicious is. Daarnaast worden de updates vaak uitgevoerd zonder enige encryptie. En de gebruiker wordt vaak niet genotifieerd als er een update beschikbaar is, dit zorgt ervoor dat veel apparaten out of date zijn.
Het IoT apparaat gebruikt vaak third-party libraries en gecustomatiseerde operating systems. Hierdoor is het lastiger om alles up-to-date te houden. Daarnaast kan er in third-party libraries ook kwetsbaarheden zitten, dit is vaak niet op het eerste opzicht duidelijk.
Als er gegevens worden opgeslagen op een apparaat, dan is het belangrijk dat dit goed wordt gedaan. Vaak is de gebruiker niet bewust van de opgeslagen gegevens. Daarnaast worden de gegevens vaak zonder encryptie opgeslagen.
In het ecosysteem van het apparaat worden gegevens verstuurd, meestal zonder encryptie. Het is ook vaak het geval dat de access control niet goed is geconfigureerd. Hierdoor kan het zijn dat een gebruiker of een kwaadwillende toegang heeft tot gegevens die hen niet horen te zien.
Nadat de IoT apparaten zijn verkocht, is het belangrijk dat het bedrijf een mogelijkheid heeft om de apparaten te beheren. Het gebeurt vaak dat de bedrijven dit niet (volledig) kunnen. Het gaat hier om het beheren van updates, veilige ontmanteling, en reactiemogelijkheden.
IoT apparaten worden vaak uitgebracht met standaard, hardcoded instellingen. De gebruiker kan deze niet of moeilijk veranderen. Dit geeft een voordeel aan de kwaadwillende. De kwaadwillende kan kwetsbaarheden vinden op een apparaat en deze exploiteren op verschillende apparaten.
Als een IoT apparaat fysiek niet veilig is kan dit een groot voordeel zijn voor de kwaadwillende. Deze kan onder andere UART, JTAG en SWD-exploitatie gebruiken om gevoelige gegevens en kwetsbaarheden te vinden. Deze kunnen dan gebruikt worden in toekomstige aanvallen.
