Уязвимость в HDL позволяла захватить контроль над "умным домом"
9 августа 2020 года
Исследователь безопасности Барак Стернберг (Barak Sternberg) обнаружил в системе автоматизации для "умного дома" HDL уязвимость, позволявшую взломать чужие учетные записи и захватить контроль над связанными устройствами. Результаты своего исследования Стернберг представил на презентации в IoT Village на конференции DEF CON.
Изучив механизмы настройки и управления компонентами HDL, исследователь обнаружил, что при регистрации новых учетных записей (электронного адреса и пароля) в мобильном приложении автоматически генерируется дополнительная учетная запись для установки настроек. Имя пользователя этой учетной записи содержит строку "debug" (user-debug@email.com), а пароль устанавливается тот же самый, что и для оригинального аккаунта.
Дополнительная учетная запись используется для применения настроек и отправки конфигурации для локальных устройств на внешний сервер HDL, чтобы другие авторизованные пользователи могли загружать ее и управлять "умным домом". Как оказалось, процедура замены пароля разрешает установку нового пароля для дополнительной учетной записи, тогда как пароль для оригинального аккаунта остается прежним.
Атакующий может зарегистрировать электронный адрес для дополнительной учетной записи и получить инструкции для сброса пароля, после чего сможет управлять компонентами (лампочками, камерами, датчиками и пр.) в автоматизированной среде HDL и менять их настройки.
По словам Стернберга, производитель быстро исправил уязвимость, тем самым лишив его возможности изучить ее подробнее.
Источники править
| Эта статья содержит материалы из статьи «Уязвимость в HDL позволяла захватить контроль над "умным домом"», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
