Як показало дослідження, проведене фахівцями компанії Sec Consult, виробники домашніх маршрутизаторів, IoT-пристроїв та іншого апаратного забезпечення практикують повторне використання невеликого набору жорстко закодованих ключів, піддаючи девайси ризику масової компрометації. Іншими словами, якщо зловмисник володіє можливістю отримати доступ до одного пристрою, він може скомпрометувати тисячі інших навіть якщо вони від різних виробників.

Експерти вивчили 4 тис. пристроїв від 70 виробників апаратного забезпечення і виявили, що значна кількість продуктів мають однакові жорстко закодовані SSH-ключі і SSL-сертифікати. Це означає, що зловмисники можуть витягти їх з прошивки і використовувати для отримання доступу до мільйонів гаджетів, перехоплювати і дешифрувати HTTPS-з'єднання і т.

Проблема полягає в способі, яким виробники реалізують свою продукцію, пояснює старший консультант Sec Consult Стефан Вібеке (Stefan Viehbock). Приміром, компанії з виробництва чіпів часто комплектують їх набором засобів для розробки програм для адаптації під певні програми. При цьому в переважній більшості випадків вихідний код продукту не змінюється, так само як не змінюються ключі та сертифікати, включені як приклад.

«Одним із цікавих аспектів є джерело ключів. Деякі ключі ми знаходили в одному або декількох продуктах з однієї серії.

В інших випадках одні й ті ж ключі містилися в рішеннях різних виробників », - зазначають у Sec Consult. Загалом у всіх проаналізованих пристроях експерти знайшли порядку 580 закритих ключів, і принаймні 230 з них використовуються на просторах інтернету.

У серпні цього року експерти повідомили про проблему команді CERT / CC, яка, у свою чергу, повідомила всіх порушених виробників і інтернет-провайдерів. Деякі з них вже випустили оновлення для своїх прошивок.