Cерьезные уязвимости в «умной» системе безопасности iSmartAlarm обнаружены экспертом из компании Bullguard Security Ильей Шнайдманом.
Так, специалист выявил проблемы в механизме верификации SSL-сертификатов и управления доступом, ошибки аутентификации, а также уязвимость, которая дает возможность провоцировать отказ в обслуживании. Хакеры могут воспользоваться уязвимостями для того, чтобы выводить сигнализацию из строя и проникнуть в дом.
Одна из уязвимостей присутствует в устройстве CubeOne, которое отвечает за обеспечение подключения к мобильному приложению всех IoT-устройств системы безопасности iSmartAlarm, в том числе датчиков и камер. Подключаясь к серверу, CubeOne не проводит проверку подлинности его сертификата, поэтому для того, чтобы получить контроль над трафиком, хакер должен просто воспользоваться самозаверенным сертификатом.
Благодаря ошибке при обработке системой ключей шифрования XXTEA, Шнайдману удалось сгенерировать действительный ключ. Эксперт пытался выйти на связь с представителями компании-производителя и проинформировать их о проблемах, но безуспешно. Поэтому он Шнайдман обнародовал детальную информацию о выявленных уязвимостях.
