Умные дверные замки вновь оказались под угрозой взлома
Вячеслав Ларионов –
Специалисты по кибербезопасности Чейз Дардаман и Джейсон Уилер сообщили, что обнаружили в популярном хабе для умного дома от компании Zipato сразу три опасных уязвимости, которые могут помочь злоумышленникам взломать любую входную дверь, оборудованную умным замком этого производителя.
Центральные узлы умного дома, которые управляют всеми подключёнными устройствами, называются хабами. Именно они осуществляют централизованный контроль за другими гаджетами и приложениями, синхронизируя их деятельность.
К сожалению, недостатки в программном обеспечении этих устройств зачастую могут сыграть на руку хакерам, которые часто используют устройства интернета вещей для атак на сайты и взлома серверов своих жертв. Страдают и обычные люди, ведь их персональные данные часто также оказываются под угрозой.
Инженеры Дардаман и Уилер получили возможность изучить ZipaMicro, популярную модель хаба, разработанную хорватской фирмой Zipato несколько месяцев назад. Именно тогда они обнаружили серьёзные огрехи в программном обеспечении, которые могли позволить хакерам без особых проблем вскрыть умный замок, находящийся под управлением ZipaMicro.
Исследователи смогли извлечь секретный ключ суперпользователя из памяти устройства, после чего обратились к нему от имени администратора.
Позже обнаружилось, что такой ключ у каждого устройства уникален, более того, он получает «привязку» к нему при покупке. к сожалению, это тоже не добавляет таким девайсам надёжности.
Воспользовавшись всё тем же ключом, специалисты смогли загрузить с устройства файл, содержащий все остальные пароли, используемые для доступа к концентратору, после чего обнаружили, что система аутентификации пользователя не требует знания пароля хозяина умного хаба, достаточно лишь его зашифрованной версии. К ней доступ у них уже был, поэтому они полностью «захватили» узел, передав ему зашифрованный пароль назад и получив в ответ полный контроль над дверными замками.
Специалисты по кибербезопасности отметили, что устройство позволяет зарегистрировать ZipaMicro и использовать его для целого подъезда или многоквартирного дома. Если оно управляет всеми входными замками, хакеры могли бы одновременно получить доступ к каждому из них.
Представители компании Zipato сообщили, что уже продали более 112 000 устройств, но число скомпрометированных хабов назвать затруднились.
Сейчас обнаруженные уязвимости уже устранены, программное обеспечение ZipaMicro обновлено и улучшено в соответствии с рекомендациями специалистов. Похоже, всё закончилось отлично, но никто не может точно сказать, есть ли в этой истории пострадавшие. Хочется верить, что нет. По крайней мере, в полицию с жалобами такого рода пока никто не обращался.
Это новость от журнала ММ «Машины и механизмы». Не знаете такого? Приглашаем прямо сейчас познакомиться с этим удивительным журналом.