งานสัมมนา PrivacyCon ที่จัดโดยคณะกรรมการการค้าของสหรัฐ (FTC) หัวข้อที่ได้รับความสนใจอย่างมากในปีนี้คือประเด็นเรื่องความปลอดภัยของ Internet of Things

งานวิจัยชื่อ The Internet of Unpatched Things ของนักศึกษาจากมหาวิทยาลัยพรินซ์ตัน เลือกอุปกรณ์ IoT มาจำนวนหนึ่ง (ในกลุ่มนี้มี Nest, SmartThing, Belkin WeMo) มาเชื่อมต่อกันผ่าน Wi-Fi และคลื่น Z-Wave แล้วพบว่าอุปกรณ์หลายชิ้นยังขาดระบบรักษาความปลอดภัยอยู่มาก เช่น ส่งข้อมูลผ่าน HTTP โดยไม่เข้ารหัสใดๆ, กล้องวงจรปิดเชื่อมต่อแบบ FTP ไม่เข้ารหัสที่พอร์ต 21 แม้กระทั่งอุปกรณ์ชื่อดังอย่าง Nest เอง ถึงแม้การส่งข้อมูลทั้งหมดต้องผ่าน HTTPS แต่ข้อมูลสภาพอากาศกลับอัพเดตผ่าน HTTP แทน (Nest แก้ปัญหานี้แล้ว)

งานวิจัยนี้เป็นภาพสะท้อนสภาพความปลอดภัยของอุปกรณ์ IoT ว่ายังมีช่องโหว่อีกมาก แม้กระทั่งความปลอดภัยพื้นฐานอย่าง HTTPS ก็ยังไม่ค่อยใช้งานกัน และต่อให้ใช้ HTTPS ก็ใช่ว่าจะปลอดภัยจากปัญหา man-in-the-middle ถ้าใช้ใบรับรองไม่ได้มาตรฐาน

เอกสารนำเสนอฉบับเต็มสามารถดาวน์โหลดได้จาก Dropbox

ที่มา - Naked Security