Исследователи в области безопасности предупреждают, что довольно популярный умный замок UltraLoq, мог быть открыт кем угодно в результате обнаруженной уязвимости.
Согласно исследованию, которое было проведено фирмой Tripwire, специализирующейся на безопасности, злоумышленники имели возможность получить данные с облачных серверов о любом умном замке UltraLoq от компании U-Tec. В частности, они могли получить адрес электронной почты, IP адрес и ключ для открытия замка.
Этих данных достаточно для того, чтобы физически найти место установки замка и открыть его.
Этого достаточно, чтобы идентифицировать конкретного человека вместе с его домашним адресом
- написал 5 августа исследователь систем безопасности компании Tripwire Крейг Янг.
Также он заявил, что злоумышленники могут получить подобную информацию по причине того, что данные с облачного сервера содержат адреса электронной почты, локальные MAC-адреса устройств и их публичные IP адреса. Причем все вместе.
Этого достаточно для геолокации места установки замка.
А если собственник замка UltraLoq отправил команду на его открытие в тот момент, когда хакер прослушивал облачный сервер, то злоумышленник получал еще и возможность повторить команду на открытие и спокойно открыть замок тогда, когда ему это будет нужно.
Еще одна уязвимость заключается в том, что злоумышленники получали возможность вмешиваться в процесс обмена данными между замком и приложением на смартфоне, с помощью поддельных сообщений. Это действие Янг назвал "разрушительным".
UltraLoq - это довольно популярный умный замок, который имеет встроенный сканер отпечатков пальцев и сенсорную кодовую панель. Также к нему можно подключиться с помощью Bluetooth или WiFi, чтобы управлять им из приложения на смартфоне. В целом - классический представитель целого сегмента рынка умных замков. Очень удобный в использовании и простой в установке. Но это "удобство" может вызывать проблемы с безопасностью.
Еще в ноябре прошлого года Янг обнаружил уязвимость, которая, на сегодня, уже исправлена производителем на стороне сервера. Но принципиально, проблема все еще существует.
Дело в том, что злоумышленникам достаточно знать только MAC адрес устройства, чтобы получить электронные "ключи" для разблокировки замка. MAC адрес - это уникальный идентификатор, который есть у любого устройства, подключенного к сети. Его они транслируют через WiFi, Bluetooth, Ethernet и другие сетевые протоколы, чтобы их можно было найти и идентифицировать для подключения. Это выглядит как будто гаджет выкрикивает своё имя и говорит "Я здесь!".
Замки UltraLoq к тому же используют MQTT - довольно популярный протокол для обмена данными между умными устройствами и сервером.
Что из себя представляет этот протокол, вы можете ознакомиться в специальной статье по этому поводу.
Но если вкратце, то принцип работы этого протокола заключается в необходимости промежуточного сервера между устройством и получателем сообщений. Этот сервер, который называется брокером, выступает в роли некоего телефонного оператора в данном процессе.
В случае компании U-Tec (разработчика UltraLoq), MQTT брокер был размещен на Amazon Web Services и был абсолютно открыт для всего интернета. Янг нашел его с помощью поисковой системы Shodan, которая предназначена для поиска подключенных к интернету устройств, отличных от ПК или смартфонов.
Причем сервер MQTT компании транслировал статус каждого UltraLoq. В каждом сообщении был указан IP адрес замка, а также часто указывалось и текущее состояние, наряду с электронной почтой пользователя.
Поэкспериментировав со своим собственным UltraLoq, совместно с приложением для смартфона, одновременно отслеживая данные на MQTT брокере, Янг обнаружил, что смартфон для открытия замка отправляет одну и ту же последовательность.
Впоследствии, ему удалось открыть собственный замок, отправив полученную последовательность со своего компьютера напрямую на MQTT брокер.
Что делать?
Как говорит Джейк Мур, специалист по безопасности компании ESET:
Стремительный рост подключенных умных устройств, которые люди устанавливают в своих офисах и домах, является идеальной питательной средой для хакеров.
Умные гаджеты слишком часто оборудованы слабыми (если вообще оборудованы) системами безопасности, дабы пользователям было удобно ими пользоваться "из коробки". К тому же, компании не сильно заботятся об обновлениях встроенного ПО и отслеживании угроз безопасности, что подвергает владельцев повышенному риску.
В принципе, лучшим способом защиты своих умных устройств является установка надежного и сложного пароля, а лучше - включение режима двухфакторной аутентификации, если он там есть.
Хотя некоторые вещи все-таки возможно стоит оставить "глупыми", но если вам все-таки важно иметь умный замок, то необходимо всецело позаботиться о его надежности и безопасности.
Хотя если вы не являетесь специалистом, то у вас мало шансов узнать, насколько ваш гаджет безопасен.