Category Archives: IoT

OWASP Top 10 IoT Vulnerabilities Basic Idea For Testing

I1 Insecure Web Interface

  • Weak credentials
  • Weak passwords
  • Capture plain text credentials
  • Internal and external vulnerability

 

I2 Insufficient Authentication/Authorization

  • Weak passwords
  • Weak password recovery
  • Poorly protected credentials
  • Internal and external vulnerability

 

I3 Insecure Network Services

  • Attack vulnerable network services
  • Attack device itself
  • Bounce attacks off of the device
  • Buffer overflow attacks for Denial of Service
  • Sniffers and fuzzers

 

I4 Lack of Transport Encryption

  • Easy view of unencrypteddata passing between or over networks
  • Traditional crypto vulnerabilities associated with SSL and TSL i.e. Man In the Middle attacks etc.
  • Compromised Transport Layer means everything above it is vulnerable

 

I5 Privacy Concerns

  • Insufficient authentication
  • Lack of transport encryption and storage of data in encrypted format
  • Insecure network services
  • Collection of unnecessary personal data

 

I6 Insecure Cloud Interface

  • Insufficient authentication
  • Lack of transport encryption and storage of data in encrypted format
  • Attack likely from the Internet
  • Easy to guess credentials
  • Using password reset mechanism to see if account exists
  • Identify is SSL is in use
  • Account enumeration

 

I7 Insecure Mobile Interface

  • Insufficient authentication
  • Lack of transport encryption and storage of data in encrypted format
  • Attack likely from the Internet
  • Easy to guess credentials
  • Using password reset mechanism to see if account exists
  • Identify is SSL is in use
  • Account enumeration

 

I8 Insufficient Security Configurability

  • Lack of granular ability to configure authorizations
  • Weak passwords and credentials

 

I9 Insecure Software/Firmware

  • Insecure firmware software encrypted updates
  • Malicious updating

 

I10 Poor Physical Security

  • USB, SD cards, other storage devices that give access to the Operating System