Stando a un'indagine preliminare condotta su larga scala da quattro ricercatori di EURECOM France ci sarebbero oltre 140mila dispositivi connessi all'Internet delle Cose che contengono vulnerabilità zero-day, backdoor, password facilmente aggirabili e altro.
Il problema è stato rilevato mediante una scansione automatica di 32.356 immagini del firmware in esecuzione su sistemi embedded all'interno di migliaia di dispositivi di rete. Di questi, 693 avevano almeno una vulnerabilità, e 38 contenevano bug zero day. Sono state poi identificate decine di possibili backdoor, file con "chiavi autorizzate", e credenziali di amministratore su oltre 101.000 dispositivi.
Secondo i ricercatori potrebbero inoltre essere mezzo milione i dispositivi IoT che potevano essere condivisi in rete mediante firmware buggati, scaricati anche dal PlayStore di Google. Il dato richiederebbe ulteriori analisi oltre a quella preliminare, ma è comunque allarmante.
A conclusione dell'esame, sono emerse poi molte password in chiaro o facilmente intuibili, per non parlare dei privilegi utente non definiti. Il team ha utilizzato tre strumenti di analisi: Binwalk, FRAK, e BAT.