Так ли безопасны умные замки? Серьезная уязвимость в замках UltraLoq говорит об обратном

08 августа 2020, 19:08

Исследователи в области безопасности предупреждают, что довольно популярный умный замок UltraLoq, мог быть открыт кем угодно в результате обнаруженной уязвимости.

Согласно исследованию, которое было проведено фирмой Tripwire, специализирующейся на безопасности, злоумышленники имели возможность получить данные с облачных серверов о любом умном замке UltraLoq от компании U-Tec. В частности, они могли получить адрес электронной почты, IP адрес и ключ для открытия замка.

Этих данных достаточно для того, чтобы физически найти место установки замка и открыть его.

1600x_image.png?1596907010

Этого достаточно, чтобы идентифицировать конкретного человека вместе с его домашним адресом

- написал 5 августа исследователь систем безопасности компании Tripwire Крейг Янг.

Также он заявил, что злоумышленники могут получить подобную информацию по причине того, что данные с облачного сервера содержат адреса электронной почты, локальные MAC-адреса устройств и их публичные IP адреса. Причем все вместе.

Этого достаточно для геолокации места установки замка.

А если собственник замка UltraLoq отправил команду на его открытие в тот момент, когда хакер прослушивал облачный сервер, то злоумышленник получал еще и возможность повторить команду на открытие и спокойно открыть замок тогда, когда ему это будет нужно.

Еще одна уязвимость заключается в том, что злоумышленники получали возможность вмешиваться в процесс обмена данными между замком и приложением на смартфоне, с помощью поддельных сообщений. Это действие Янг назвал "разрушительным".

UltraLoq - это довольно популярный умный замок, который имеет встроенный сканер отпечатков пальцев и сенсорную кодовую панель. Также к нему можно подключиться с помощью Bluetooth или WiFi, чтобы управлять им из приложения на смартфоне. В целом - классический представитель целого сегмента рынка умных замков. Очень удобный в использовании и простой в установке. Но это "удобство" может вызывать проблемы с безопасностью.

Еще в ноябре прошлого года Янг обнаружил уязвимость, которая, на сегодня, уже исправлена производителем на стороне сервера. Но принципиально, проблема все еще существует.

Дело в том, что злоумышленникам достаточно знать только MAC адрес устройства, чтобы получить электронные "ключи" для разблокировки замка. MAC адрес - это уникальный идентификатор, который есть у любого устройства, подключенного к сети. Его они транслируют через WiFi, Bluetooth, Ethernet и другие сетевые протоколы, чтобы их можно было найти и идентифицировать для подключения. Это выглядит как будто гаджет выкрикивает своё имя и говорит "Я здесь!".

Замки UltraLoq к тому же используют MQTT - довольно популярный протокол для обмена данными между умными устройствами и сервером.

Что из себя представляет этот протокол, вы можете ознакомиться в специальной статье по этому поводу.

Но если вкратце, то принцип работы этого протокола заключается в необходимости промежуточного сервера между устройством и получателем сообщений. Этот сервер, который называется брокером, выступает в роли некоего телефонного оператора в данном процессе.

В случае компании U-Tec (разработчика UltraLoq), MQTT брокер был размещен на Amazon Web Services и был абсолютно открыт для всего интернета. Янг нашел его с помощью поисковой системы Shodan, которая предназначена для поиска подключенных к интернету устройств, отличных от ПК или смартфонов.

Причем сервер MQTT компании транслировал статус каждого UltraLoq. В каждом сообщении был указан IP адрес замка, а также часто указывалось и текущее состояние, наряду с электронной почтой пользователя.

Поэкспериментировав со своим собственным UltraLoq, совместно с приложением для смартфона, одновременно отслеживая данные на MQTT брокере, Янг обнаружил, что смартфон для открытия замка отправляет одну и ту же последовательность.

Впоследствии, ему удалось открыть собственный замок, отправив полученную последовательность со своего компьютера напрямую на MQTT брокер.

Что делать?

Как говорит Джейк Мур, специалист по безопасности компании ESET:

Стремительный рост подключенных умных устройств, которые люди устанавливают в своих офисах и домах, является идеальной питательной средой для хакеров.

Умные гаджеты слишком часто оборудованы слабыми (если вообще оборудованы) системами безопасности, дабы пользователям было удобно ими пользоваться "из коробки". К тому же, компании не сильно заботятся об обновлениях встроенного ПО и отслеживании угроз безопасности, что подвергает владельцев повышенному риску.

В принципе, лучшим способом защиты своих умных устройств является установка надежного и сложного пароля, а лучше - включение режима двухфакторной аутентификации, если он там есть.

Хотя некоторые вещи все-таки возможно стоит оставить "глупыми", но если вам все-таки важно иметь умный замок, то необходимо всецело позаботиться о его надежности и безопасности.

Хотя если вы не являетесь специалистом, то у вас мало шансов узнать, насколько ваш гаджет безопасен.

Источник новости: Toms Guide

Все новости мира умных домов - t.me/SprutAI_News или Instagram
Остались вопросы? Мы в Telegram - @SprutAI

Хочешь умный дом но нет времени разбираться?
Посмотри примеры работ и выбери себе интегратора.
  1. (monster1025)
    (monster1025) 5 месяцев назад
    Я легко открываю замок Xiaomi первой версии - там тоже есть довольно банальные уязвимости.

К списку новостей

Похожие статьи

20 мая 2020, 20:08
Aqara представила камеру-шлюз G2H и умный замок P100. Интеграция в Apple HomeKit у обоих устройств и камера для распознавания лиц встроенная в замок.
28 июля 2019, 17:30
FIDO - новый минималистичный умный замок от суббренда Xiaomi
18 декабря 2019, 18:53
Apple, Amazon, Google и ZigBee Alliance объявили о начале разработки нового стандарта для умного дома
01 февраля 2019, 21:01
Мы продолжаем нашу славную традицию выбирать в конце месяца лучшего автора. В феврале мы снова выберем лучшую статью и лучшую запись в блоге и наградим авторов замечательными подарками от наших спонсоров!
03 июня 2020, 19:13
Новый шлюз aqara, датчик движения, измеритель TVOC, новый замок, датчик сна и конечно же новый дизайн выключателей.
07 июля 2019, 10:09
Nuki Opener устройство для открытие домофонов с Apple HomeKit и Google Home.
11 марта 2020, 18:36
Какие новинки ожидать от iOS 14 и tvOS 14? Циркадное освещение, распознавание лиц и улучшение работы AirPlay 2 - это основные известные на настоящий момент улучшения, которые коснутся в первую очередь Apple HomeKit
17 апреля 2020, 18:42
Грандиозное обновление приложения Eve для HomeKit. Камеры на весь экран, синхронизация настроек и многое другое. Показ камер в каждой комнате,
06 сентября 2020, 12:41
В продолжении к сегодняшней новости, хочу рассказать про еще одно уникальное устройство от компании Shelly. Shelly UNI сможет превратить "что угодно - в умное".
24 февраля 2020, 17:25
Apple опубликовали документ, разъясняющий логику интеграции маршрутизаторов с поддержкой HomeKit. Пользователям придется перенастраивать свой Дом практически с нуля.