SIMonline © 2019

Работаем с interkassa Мы принимаем WebMoney
SIMonline - Виртуальные сим карты онлайн
info: Отправка SMS приостановлена!

Взлом смарт замка телефоном

Взлом смарт замка телефоном


Исследователи предупреждают, что в Deadbolt с поддержкой Bluetooth от Hickory обнаружены неисправленные недостатки, позволяющие злоумышленнику получить доступ к телефону жертвы, чтобы проникнуть в их дома.

На нашем сайте Вы можете купить номер для регистрации любого аккаунта и больше не прийдется бегать за новой сим катрой в магазин.

Что еще хуже, производитель интеллектуальных дверных замков еще не признал и не исправил недостатки.

Шесть уязвимостей существуют в устройстве Hickory Smart Bluetooth с поддержкой Deadbolt, изготовленном компанией Hickory Hardware, которое позволяет пользователям удаленно блокировать свои дома с помощью мобильного приложения на своем телефоне Android или iPhone. Уязвимости средней степени опасности, поскольку для эксплуатации требуется некоторый уровень доступа к уже скомпрометированному мобильному устройству, однако, как только злоумышленник получает доступ к телефону жертвы, он может легко использовать недостатки, чтобы удаленно разблокировать замок из мобильного приложения.

«Это, в свою очередь, может представлять физический риск для людей и имущества, защищаемых этими замками», - сказал Тод Бердсли. «На момент первоначального выпуска этого раскрытия уязвимости поставщик не признавал эти уязвимости и не предлагал обновление программного обеспечения для решения этих проблем».

В целом, исследователи обнаружили шесть недостатков, влияющих на интеллектуальную блокировку: от небезопасного хранения в приложениях для Android и iOS до неправильного контроля доступа API и передачи учетных данных в виде открытого текста.

Небезопасный Deadbolt
Из шести обнаруженных уязвимостей три могут быть использованы для потенциальной разблокировки интеллектуального дверного замка. Два из недостатков (CVE-2019-5632 и CVE-2019-5633) связаны с дополнительным мобильным приложением Smart Deadbolt, хранящим незашифрованные критические данные в базе данных. База данных содержала информацию, которую можно было использовать для удаленного управления блокировочными устройствами.

CVE-2019-5632 проистекает из незашифрованных критических данных, хранящихся в базе данных SQLite (называемой SecureRemoteSmartDB.sqlite) в приложении Android, а CVE-2019-5633 проистекает из конфиденциальных незашифрованных данных, хранящихся в базе данных Cache.db в приложении iOS ,

Предостережение заключается в том, что злоумышленнику потребуется физический доступ к разблокированной телефонной трубке для просмотра приложения перед тем, как поставить под угрозу конфиденциальные данные, сказал Бердсли.

Исследователи обнаружили еще один недостаток (CVE-2019-5634) в приложении для Android, который включал ведение журнала отладки на устройствах Android. Поскольку журналы отладки используются для устранения неполадок и разработки приложений, эта функция должна быть отключена, когда приложение переходит в рабочий режим.

Тем не менее, исследователи обнаружили, что все коммуникации со службами API Интернета и прямые подключения к блокировке регистрировались в журнале отладки, который существовал в стандартном пути хранения USB или SD-карты устройства Android - то есть они могли быть легко доступны любому, кто контролирует Телефон.

«Важно отметить, что пользователь с любым уровнем доступа к удаленному управлению блокировкой, даже на временной основе, может использовать эти данные журнала для получения несанкционированного доступа в будущем»

Другие уязвимости
Исследователи обнаружили множество других проблем в устройстве, в том числе неправильный недостаток управления доступом к API (у которого не было CVE), способность отключенных пользователей сохранять доступ к API (которому также не был назначен CVE) и передачу учетных данных открытым текстом ( CVE-2019-5635).

Последнее связано с тем, что устройство Hickory Smart Ethernet Bridge связывается по сети с брокером MQTT без шифрования, предоставляя имена пользователей и пароли по умолчанию, используемые для аутентификации в MQTT.

«Несмотря на то, что мы смогли раскрыть это имя пользователя и пароль для службы MQTT, связанной с размещенной в облаке инфраструктурой, неясно, что именно злоумышленник сможет сделать с этим паролем, поскольку все другие данные оказались зашифрованными или закодированными».

Несмотря на то, что Rapid7 раскрыл уязвимости Hickory Hardware 16 мая, производитель еще не признал и не выпустил исправление для недостатков. В четверг запланирован крайний срок публичного раскрытия (более 60 дней после 16 мая) для выявления недостатков.

«В отсутствие поставляемых производителем исправлений пользователи этих приложений для iOS и Android и связанных с ними дверных замков должны позаботиться о том, чтобы не делиться доступом с людьми, которые не должны иметь долгосрочного постоянного доступа к защищенному свойству». 
«Независимо от обновлений, предоставляемых поставщиком, мобильные устройства должны быть защищены уникальным ПИН-кодом, паролем или шаблоном, чтобы предотвратить случайное раскрытие конфиденциальных паролей и токенов в случае потери мобильного устройства».

Это не первая проблема, от которой страдают устройства «умного дома», особенно связанные с замками.


2019-08-06 13:04:31


<<- Android вымогатели, шантаж через Reddit и SMS

Скачать Telegram Seener Pro v5.0 ->>