Дослідники виявили тривожний недолік в безпеці хабів для розумного будинку Zipato

У світлі недавньої дискусії навколо безпеки розумних будинків, дослідники Чейз Дардаман і Джейсон Уілер почали вивчати популярні концентратори розумних будинків, щоб з’ясувати, наскільки безпечні ці пристрої насправді. Те, що вони знайшли, в кращому випадку викликає занепокоєння, повідомляє TechCrunch. Двоє дослідників зламали ZipaMicro, хаб розумного будинку виробництва хорватської компанії Zipato. Їх дослідження виявило три специфічні недоліки безпеки, які при використанні в поєднанні один з одним могли відкрити розумний замок, підключений до хабу.

Дардаман та Вілер виявили, що ключ захищеної оболонки (SSH), який є стандартною частиною більшості сучасних засобів мережевої безпеки, був жорстко закодований у кожному хабі. Цей ключ можна було витягти з карти пам’яті пристрою. Більше того, будь-хто, хто мав приватний ключ, міг отримати доступ до пристрою без головного пароля.

Іншими словами, кожен будинок з таким хабом був вразливий до атаки. У хабі Zipato використовується тип безпечної автентифікації, який називається “pass the hash”. Коли пароль вводиться в пристрій, він зазвичай шифрує пароль при введенні і зберігає його таким чином, щоб тільки хтось або щось з правильним кодом шифрування могло отримати доступ до нього. “Передати хеш” означає, що хабу Zipato не потрібно розшифровувати пароль, щоб використовувати його; пристрій надає доступ, навіть якщо використовується зашифрована (хешована) версія, яка дозволила доступ Дардаману та Уілеру.

• Найкращі поради, підказки та писанки про Google Home
• Як розумне управління водними ресурсами може захистити від шкоди та заощадити гроші
• Подія Matter Launch Day принесла великі новини про майбутні оновлення, сумісні продукти

Хоча ця вразливість стосується тільки хабів Zipato, будь-який пристрій, що працює під тим же обліковим записом, відкритий для атаки. Багато багатоквартирних будинків почали встановлювати розумні замки в квартирах, щоб запропонувати потенційним орендарям більше зручності, але цей експлойт означає, що будь-яка квартира під тим же обліковим записом може бути відкрита за бажанням.

ZipaMicro розроблений для того, щоб надати домовласникам легкий контроль над усіма їхніми пристроями через центральну точку, але ці висновки показують, як хаб може потенційно створювати вразливості, які обходять інші заходи безпеки.

Звичайно, на цьому шляху є перешкоди. Будь-який зловмисник повинен мати доступ до тієї ж мережі Wi-Fi, що і розглянутий розумний хаб. Однак, якщо пристрій підключений до інтернету, це вже не проблема – зловмисник може отримати віддалений доступ.

За даними Zipato, вона має 112 000 пристроїв у 20 000 домогосподарствах, але точна кількість вразливих систем ще не відома. Після оприлюднення висновків дослідника Zipato опублікувала заяву про те, що були зроблені численні поліпшення безпеки, але існування такої вразливості викликає занепокоєння у захисників безпеки: Технології “розумного будинку” потребують більшого захисту.

Рекомендації редакції

• Найкращі пристрої для розумного будинку на 2022 рік
• Правда про вуличні гаджети для розумного дому та екстремальний холод
• Arlo Go 2 може вийти за рамки Wi-Fi, і це дійсно круто
• Веб-прев’ю Google Home в прямому ефірі – і йому не вистачає більшості функцій
• Посібник з купівлі кільцевої камери спостереження

Source: digitaltrends.com