Новости Смартфон вместо отмычки: умные замки Chirp подрывают безопасность десятков тысяч домовладений

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Исследователи называют выявленную уязвимость одной из самых опасных в индустрии умного дома.


ed4x3ymbuco7z7wkmkowjg1hny0wx83t.jpg


Серьёзная угроза безопасности Для просмотра ссылки Войди или Зарегистрируйся в умных замках, управляемых программным обеспечением Chirp Systems. Благодаря критической уязвимости, злоумышленники могут удалённо разблокировать их и физически проникать в защищённые локации.

Уязвимость связана с тем, что в приложении Chirp для Android жёстко закодированы пароли и приватные ключи. Эти данные могут быть использованы для доступа к API поставщика умных замков August, что позволяет управлять замками на расстоянии. По заявлениям Chirp, их система насчитывает более 50 000 пользователей.

Программное обеспечение Chirp позволяет управлять замками, совместимыми с продукцией компаний, таких как August и Yale, последняя принадлежит шведской корпорации Assa Abloy.

Уязвимость с идентификатором Для просмотра ссылки Войди или Зарегистрируйся была оценена по шкале CVSS как критическая (9.1 из 10). Агентство по кибербезопасности и защите инфраструктур США ( CISA ) также Для просмотра ссылки Войди или Зарегистрируйся об этой проблеме, отметив, что компания Chirp пока что не приняла необходимые меры для устранения уязвимости.

Обнаружил проблему инженер Amazon Web Services Мэтт Браун, который занялся изучением Для просмотра ссылки Войди или Зарегистрируйся после того, как установил такие замки в своём доме. По его словам, исправить уязвимость несложно, но компания-производитель почему-то не проявляет заинтересованности в этом.

Кроме того, Chirp предлагает NFC-ключ в качестве альтернативы приложению, но и он не защищён от удалённых атак, так как передаёт данные в открытом виде. Брауну пришлось заплатить 50 долларов за использование этого ненадёжного ключа. Инженер рекомендует владельцам умных замков, контролируемых через Chirp, использовать дополнительные механические запоры для усиления безопасности.

Последние месяцы стали весьма щедрыми на уязвимости, связанными с умными замками. Так, недавно Для просмотра ссылки Войди или Зарегистрируйся о бреши в защите замков сети немецких отелей Ibis, позволяющих вскрыть любую дверь путём использования шести тире на терминале самообслуживания; а ещё раньше Для просмотра ссылки Войди или Зарегистрируйся об уязвимости замков Saflock, которые можно запросто вскрыть при помощи недорогого устройства для чтения-записи RFID-карт.
 
Источник новости
www.securitylab.ru

Похожие темы