«Умная» сигнализация iSmartAlarm упрощает работу грабителям
Исследователь безопасности компании Bullguard Security Илья Шнайдман рассказал о ряде серьезных уязвимостей в «умной» системе безопасности производства iSmartAlarm. В частности, Шнайдман обнаружил проблемы с проверкой подлинности SSL-сертификатов и управлением доступа, ошибки аутентификации, а также уязвимость, позволяющую вызвать отказ в обслуживании. Злоумышленники могут проэксплуатировать уязвимости с целью вывести из строя сигнализацию и, к примеру, ограбить дом.
Одна из вышеупомянутых проблем затрагивает CubeOne – центральное устройство, обеспечивающее подключение к мобильному приложению всех IoT-гаджетов, датчиков и камер, которые используются в системе безопасности iSmartAlarm. Во время рукопожатия со своим сервером CubeOne не проверяет подлинность его сертификата, поэтому для получения контроля над трафиком злоумышленнику достаточно лишь использовать самозаверенный сертификат.
Ошибка при обработке системой iSmartAlarm ключей шифрования XXTEA позволила Шнайдману создать действительный ключ. Исследователь попытался связаться с производителем и сообщить о проблемах, но безрезультатно. В связи с этим он решил раскрыть общественности подробности о найденных уязвимостях.
XXTEA – криптографический алгоритм, реализующий блочное симметричное шифрование. Является расширением алгоритма Block TEA.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш