Американское агентство кибербезопасности CISA обнаружило уязвимость в приложениях Chirp для удаленного управления умными замками. Сервис часто используют, чтобы открыть доступ к дому или квартире при посуточной аренде жилья в Америке.
Оказалось, что сервис недостаточно надежно хранит ключи доступа к замкам. Они находятся в исходном коде, могут быть легко перехвачены и извлечены. Взломщик может отследить сигнал на такой замок, а затем имитировать действия из удаленного приложения.
Агентство CISA заявило, что уязвимость может позволить злоумышленникам попасть в любое помещение, которое защищено замками Chirp. Найденной дыре в безопасности присвоили рейтинг опасности 9.1 из 10 возможных. Атаку на систему провести очень легко, для этого нужен минимальный набор оборудования.
Сначала представители Chirp заявили, что не видят доказательств проблемы, а позднее сказали, что уже разрабатывают обновление системы безопасности.
Компания Chirp получила большие контракты на установку своего ПО и оборудования в арендные помещения во время пандемии.