Умный, но беззащитный: смарт-здание можно взломать через климат-контроль

Опубликовано at 16:49
93 0

Казалось бы, уже все компоненты умного дома доказали свою уязвимость перед хакерскими атаками. Буквально вчера обсуждали уязвимость, через которую можно заблокировать двери во всем здании. И однако же, специалисты продолжают находить новые дыры.

Специалисты ForeScout обнаружили семь брешей в оборудовании автоматизации процессов в зданиях и разработавшие эксплойт для демонстрации двух из них. Производители оперативно выпустили патчи для исправления недостатков, однако более 9 тысяч (как минимум) уязвимых устройств, использующих старые версии прошивки, все еще доступны онлайн. Компоненты умного дома, уязвимые для кибератак, через упомянутые бреши: это климатические установки, элементы управления дверьми и другие системы.

Наиболее серьезные проблемы ForeScout обнаружили в одном из программируемых контроллеров управления доступом, в код которого была попросту вшита секретная последовательность для шифрования паролей вшита в код программы (любопытно, что с дверным контролем PremiSys от IDenticard была та же проблема).

Другие уязвимости, найденные экспертами, также не слишком мудреные: так, один багсвязан с переполнением буфера контроллера, что позволяет киберпреступникам выполнить на нем вредоносный код и взять устройство под контроль.

Еще три бреши относятся к продуктам компании Loytec, выпускающей домашние контроллеры, серверы и устройства ввода-вывода: получить доступ к устройству и выполнить на нем вредоносный код оказалось реально, просто отправив на него запрос со строкой того же размера, что и допустимый ключ идентификации.

Еще два бага в коммуникационном оборудовании компании EasyIO также связаны с XSS и несанкционированной возможностью копировать и удалять файлы на устройстве.

Напомним, прошлым летом Avast обнаружили способ взлома «умного» дома с помощью протокола MQTT, то есть, протокола, которым устройства взаимодействуют друг с другом. Для успешной кибератаки по такой модели необходим сервер MQTT (брокер) со встроенными возможностями безопасности, который служит «посредником» между всеми компонентами. Если сервер настроен неправильно, он падает, как костяшка домино. Используя поисковую систему Shodan, Avast сходу обнаружили более 49 тыс. уязвимых MQTT-серверов, из которых почти 33 тысячи серверов не имеют защиты паролем. Если исчислять в умных домах, то это целые Котельники, Можайск или полтора Звенигорода.

Вообще АКБ очень много писало в прошлом 2018 году про уязвимость умных домов, и, по-видимому, в этом году материала будет не меньше. Самые интересные ниже:

Ну совсем не умный дом: смарт-жилище можно взломать через розетку — или даже без нее

Самый умный что ли: новый ботнет Hide ‘N Seek атакует системы умных домов

Самый популярный протокол для умных домов оказалось легко взломать

Половина всех бизнесов не могут уследить за безопасностью умных устройств

Подписываемся, следим @CyberAgency

Related Post

Американцы ставят тайну интернет-переписки выше борьбы с терроризмом

Опубликовано - 10.04.2017 0
40 процентов американцев стали осторожнее пользоваться электронной почтой после скандальной истории со взломом почтового сервера Демократической партии в ходе президентской…

Тысячи разработчиков намеренно отключают проверку SSL-сертификатов – и подвергают вас риску

Опубликовано - 31.10.2018 0
Скотт Арцижевски из Paragon Initiative рассказал про «невидимую эпидемию»: многие разработчики плагинов и PHP-библиотек конфигурируют свой код, в частности, некоторые…

Добавить комментарий