Новости Барбекю с сюрпризом: исследователи выявили ряд уязвимостей в умных грилях Traeger

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
Любители стейков рискуют стать жертвами кибергурманов.


02y5nn5auiekpaugnb2w7e4wlq47ga1e.jpg


Специалисты компании Bishop Fox Для просмотра ссылки Войди или Зарегистрируйся в Wi-Fi контроллере умного гриля Traeger Grill D2, позволяющем управлять приготовлением мяса и овощей удалённо с помощью мобильного устройства. Обнаруженные уязвимости могут представлять серьёзную угрозу сетевой безопасности пользователей.

Исследователи отметили следующие выявленные проблемы:

  • Недостаточный контроль за процессом авторизации;
  • Раскрытие конфиденциальной информации;
  • Незашифрованная прошивка;
  • Открытые порты для отладки.
Недостаточные контроли авторизации в API, ответственном за регистрацию грилей, позволяют злоумышленникам управлять грилем другого пользователя. Злоумышленник может получить идентификатор гриля (48-битный код) и использовать его для регистрации гриля через API, что позволяет выполнять чувствительные операции, например, изменять температуру во время готовки.

Компания Traeger уже выпустила обновление прошивки для решения этой проблемы. Грили, подключенные к Интернету, автоматически получают обновления, поэтому пользователи могут быть уверены в безопасности своих устройств.

Также было обнаружено, что API GraphQL, используемое мобильным приложением, содержало операцию ListGrills, которая раскрывала атакующему информацию обо всех зарегистрированных грилях пользователей. Хотя для доступа к API требовался ключ API и токен AWS Cognito, это представляло ощутимый уровень риска для безопасности. В ответ на отчёт о данной уязвимости, компания Traeger полностью отключила операцию ListGrills.

Растущая популярность устройств Интернета вещей ( IoT ) делает необходимым проведение комплексных проверок безопасности для защиты подключенных устройств. А для повышения безопасности грилей Traeger Grill D2 специалисты Bishop Fox рекомендуют любителям барбекю всегда использовать физический выключатель питания для полного отключения грилей, когда они не используются.
 
Источник новости
www.securitylab.ru

Похожие темы