Уязвимости в приложении позволяли взламывать систему освещения рекламных щитов

В результате анализа программы SmartLink для устройств на базе Android эксперт в сфере информационной безопасности Рэнди Вестергрен пришел к выводу, что хакеры, вероятно, взломали осветительную систему билбордов, используя уязвимости в мобильных приложениях поставщика услуг.

SmartLink – это популярная сотовая система управления освещением билбордов, разработанная компанией OutdoorLink, специализирующейся на создании инструментов контроля за потреблением электроэнергии.

Вестергрен выяснил, что хакер может без труда обойти механизм аутентификации приложения, что позволит ему заполучить доступ к пользовательским данным SmartLink. Помимо этого, чтобы передавать данные, API применял HTTP, вследствие чего хакеры могли осуществлять атаки типа man-in-the-middle и перехватывать информацию. В процессе анализа приложения выяснилось, что одна из доступных веб-директорий содержала файлы с исходным кодом API и учетной информацией пользователей, которая хранилась в открытом виде.

В июле текущего года компанию OutdoorLink проинформировали об уязвимостях. Устранение брешей заняло несколько месяцев. Ситуация с HTTP компании стала достоянием гласности в августе. Тогда же вышли обновления для приложения на базе Android, и лишь в ноябре OutdoorLink выпустила исправленную версию для iOS-устройств.