SIMonline

Сервис приема & отправки SMS

Взлом смарт замка телефоном

56   |     /   Соцсети
Взлом смарт замка телефоном
Исследователи предупреждают, что в Deadbolt с поддержкой Bluetooth от Hickory обнаружены неисправленные недостатки, позволяющие злоумышленнику получить доступ к телефону жертвы, чтобы проникнуть в их дома.



На нашем сайте Вы можете купить номер для регистрации любого аккаунта и больше не прийдется бегать за новой сим катрой в магазин.

Что еще хуже, производитель интеллектуальных дверных замков еще не признал и не исправил недостатки.

Шесть уязвимостей существуют в устройстве Hickory Smart Bluetooth с поддержкой Deadbolt, изготовленном компанией Hickory Hardware, которое позволяет пользователям удаленно блокировать свои дома с помощью мобильного приложения на своем телефоне Android или iPhone. Уязвимости средней степени опасности, поскольку для эксплуатации требуется некоторый уровень доступа к уже скомпрометированному мобильному устройству, однако, как только злоумышленник получает доступ к телефону жертвы, он может легко использовать недостатки, чтобы удаленно разблокировать замок из мобильного приложения.

«Это, в свою очередь, может представлять физический риск для людей и имущества, защищаемых этими замками», - сказал Тод Бердсли. «На момент первоначального выпуска этого раскрытия уязвимости поставщик не признавал эти уязвимости и не предлагал обновление программного обеспечения для решения этих проблем».

В целом, исследователи обнаружили шесть недостатков, влияющих на интеллектуальную блокировку: от небезопасного хранения в приложениях для Android и iOS до неправильного контроля доступа API и передачи учетных данных в виде открытого текста.

Небезопасный Deadbolt
Из шести обнаруженных уязвимостей три могут быть использованы для потенциальной разблокировки интеллектуального дверного замка. Два из недостатков (CVE-2019-5632 и CVE-2019-5633) связаны с дополнительным мобильным приложением Smart Deadbolt, хранящим незашифрованные критические данные в базе данных. База данных содержала информацию, которую можно было использовать для удаленного управления блокировочными устройствами.

CVE-2019-5632 проистекает из незашифрованных критических данных, хранящихся в базе данных SQLite (называемой SecureRemoteSmartDB.sqlite) в приложении Android, а CVE-2019-5633 проистекает из конфиденциальных незашифрованных данных, хранящихся в базе данных Cache.db в приложении iOS ,

Предостережение заключается в том, что злоумышленнику потребуется физический доступ к разблокированной телефонной трубке для просмотра приложения перед тем, как поставить под угрозу конфиденциальные данные, сказал Бердсли.

Исследователи обнаружили еще один недостаток (CVE-2019-5634) в приложении для Android, который включал ведение журнала отладки на устройствах Android. Поскольку журналы отладки используются для устранения неполадок и разработки приложений, эта функция должна быть отключена, когда приложение переходит в рабочий режим.

Тем не менее, исследователи обнаружили, что все коммуникации со службами API Интернета и прямые подключения к блокировке регистрировались в журнале отладки, который существовал в стандартном пути хранения USB или SD-карты устройства Android - то есть они могли быть легко доступны любому, кто контролирует Телефон.

«Важно отметить, что пользователь с любым уровнем доступа к удаленному управлению блокировкой, даже на временной основе, может использовать эти данные журнала для получения несанкционированного доступа в будущем»

Другие уязвимости
Исследователи обнаружили множество других проблем в устройстве, в том числе неправильный недостаток управления доступом к API (у которого не было CVE), способность отключенных пользователей сохранять доступ к API (которому также не был назначен CVE) и передачу учетных данных открытым текстом ( CVE-2019-5635).

Последнее связано с тем, что устройство Hickory Smart Ethernet Bridge связывается по сети с брокером MQTT без шифрования, предоставляя имена пользователей и пароли по умолчанию, используемые для аутентификации в MQTT.

«Несмотря на то, что мы смогли раскрыть это имя пользователя и пароль для службы MQTT, связанной с размещенной в облаке инфраструктурой, неясно, что именно злоумышленник сможет сделать с этим паролем, поскольку все другие данные оказались зашифрованными или закодированными».

Несмотря на то, что Rapid7 раскрыл уязвимости Hickory Hardware 16 мая, производитель еще не признал и не выпустил исправление для недостатков. В четверг запланирован крайний срок публичного раскрытия (более 60 дней после 16 мая) для выявления недостатков.

«В отсутствие поставляемых производителем исправлений пользователи этих приложений для iOS и Android и связанных с ними дверных замков должны позаботиться о том, чтобы не делиться доступом с людьми, которые не должны иметь долгосрочного постоянного доступа к защищенному свойству». 
«Независимо от обновлений, предоставляемых поставщиком, мобильные устройства должны быть защищены уникальным ПИН-кодом, паролем или шаблоном, чтобы предотвратить случайное раскрытие конфиденциальных паролей и токенов в случае потери мобильного устройства».

Это не первая проблема, от которой страдают устройства «умного дома», особенно связанные с замками.

Похожие новости


Android вымогатели, шантаж через Reddit и SMS

Новый вид вымогателей распространяется среди пользователей Android через онлайн-форумы и SMS-сообщения.

Исследователи предупреждают о новом вымогателе Android, распространяемом по ссылкам на онлайн-форумах и в сообщениях SMS. Вредоносные ссылки предполагают подключение к игре-симулятору секса, но на самом деле прив...

Google закрывает свое приложение Trips

Google закрывает свое приложение Trips для мобильных телефонов, но включает в себя большую часть функциональных возможностей сервиса в своем приложении «Карты» и «Поиске», говорится в заявлении компании.

Смартфон Pixel 4 от Google будет иметь управление движением и разблокировку лицом

Pixel 4 от Google выйдет в этом году, и он получает долгожданное признание благодаря решению от Google в этом году идти вперед. Новое видео, опубликованное Google о предстоящем Pixel 4 (которое, скорее всего, будет недоступно до осени), демонстрирует некоторые новые для этого поколения функции: управление движением и разблокировка лицом.



SIMONLINE.SU

Это не только сервис приема и отправки СМС сообщений на виртуальные номера, но еще и туториал по безопасности пользователей в современном мире, новинки разработок в IT сфере, безопасность в социальных сетях, свежие программы и уроки упрощающие нашу жизнь. Так же и другие вопросы встречающиеся у рядового пользователя. Простыми словами, каждый пользователь найдет для себя что то интересное или ответы на свои вопросы.

SIMonline © 2020

All rights reserved