У додатках для управління «розумним» будинком виявлені вразливості

28 вересня 2017, 22:26 | Технології
фото з InternetUA
Розмір тексту:

Дослідники безпеки з компанії Rapid7 проаналізували Android-додатки для управління IoT-пристроями Wink Hub 2 і Insteon Hub. В ході дослідження було виявлено, що обидва додатки зберігають конфіденційні облікові дані в файлах конфігурації в незашифрованому вигляді.

Як правило, Android-додатки не мають доступу до файлів інших програм (за винятком системних служб зі спеціальними привілеями). Однак існують способи, за допомогою яких зловмисники можуть отримати доступ до даних, тому Android надає вбудоване безпечне сховище ключів для зберігання конфіденційної інформації. Існують різні методи шифрування облікових даних в сховищі, але деякі розробники з незрозумілих причин не використовують ці механізми.

Дані додатків можуть бути легко вилучені з загублених або вкрадених телефонів, які не мають сильну парольний захист, або не використовують шифрування. За словами дослідників з Rapid7, для цього не потрібні особливі навички - тільки Google і 45 хвилин часу.

Як з'ясували експерти, Android-додаток для управління хабом Wink Hub 2 зберігало в незахищеному вигляді токени доступу до OAuth, які використовуються серверами Wink для відстеження сесій авторизованих користувачів. Токени дозволяють мобільним додаткам відправляти команди на пристрій Wink Hub через хмарний сервіс компанії. Як відзначили дослідники, навіть коли були згенеровані нові маркери, старі все ще залишалися дійсними.

Таким чином, навіть якщо користувач спробував би зменшити ризики після втрати смартфона, змінивши паролі в Wink, токени OAuth, що зберігаються на їх пристроях, залишалися б актуальними.

За словами дослідника, Wink вже випустила оновлення для свого застосування і планує виправити проблему з токенами в найближчому майбутньому.

Ще одна уразливість була виявлена ??в пристроях Insteon. Компанія випускає різні «розумні» перемикачі, лампочки, розетки, датчики, дверні замки, камери та інші IoT-пристрої. Гаджети обмінюються сигналами в пропрієтарного радіохвиль на частоті 915 МГц. За словами дослідників, через відсутність шифрування зловмисники, що знаходяться в комунікаційному діапазоні, можуть перехопити такий сигнал, а потім повторно використовувати його для отримання контролю над пристроєм. В ході експерименту дослідникам безпеки вдалося перехопити і відтворити сигнал Insteon Garage Door Control Kit і відкрити двері гаража.

Облікові дані в додатку для управління хабом Insteon також зберігалися в незашифрованому вигляді, в тому числі логіни / паролі для облікових записів користувачів і безпосереднього управління пристроєм-хабом через локальну мережу. Дослідники повідомили компанії про наявність вразливостей, однак Insteon поки не зробила ніяких дій по їх усуненню.



Wink - компанія, що займається розробкою програмних і апаратних продуктів, які можна підключити до домашніх IoT-пристроїв і керувати ними за допомогою призначеного для користувача інтерфейсу.

Insteon - дочірній підрозділ компанії Smartlabs, що займається розробкою технології домашньої автоматизації, яка дозволяє перемикачів світла, лампам, термостатам, датчикам руху та іншим електричним пристроям взаємодіяти один з одним через лінії електропередач, радіочастотну зв'язок або те й інше.




Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь