Эксперты из Global Research and Analysis Team (GReAT) обнаружили уязвимость в приложении Rubetek Home — экосистеме автоматизации жилых комплексов, квартир и частных домов. Эта система позволяет жителям с единого приложения управлять не только внутриквартирными приборами, но и внешними: домофоном, камерами, шлагбаумами, счетчиками и датчиками пожарной сигнализации.
Уязвимость заключалась в отправке чувствительных данных в процессе логирования работы приложения. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки при помощи Telegram-бота.
Отправляемые файлы, помимо системной информации, содержали в себе персональные данные пользователей, а также, что более критично, Refresh-токены, необходимые для авторизации в аккаунте пользователя, чей токен был получен. У потенциальных атакующих была возможность переслать все эти файлы себе при помощи того же Telegram-бота. Для этого они могли получить его Telegram-токен и идентификатор нужного чата из кода приложения, а после перебрать порядковые номера сообщений, содержащих такие файлы.
Злоумышленники могли бы получить данные, которые отправлялись разработчику ото всех пользовательских приложений. Список этих данных поражает воображение:
- ФИО, мобильный телефон или email, и полный адрес объекта, подключенного к приложению.
- Список устройств, которые подключены к умному дому.
- Информация о событиях, которые фиксируют умные устройства (Снят ли дом с охраны? Заметен ли подозрительный шум на камерах?).
- Системная информация об устройствах внутри локальной домашней сети (MAC-адрес, IP-адрес, тип устройства).
- IP-адреса для подключения к камерам через протокол Web
- Снимки с умных камер и домофонов.
- Переписка пользователя с формой помощи.
- Токены, позволяющие получить новую сессию от аккаунта пользователя.
Причем, под угрозой могли оказаться пользователи приложений как на Android, так и на iOS.
Эксперты связались с Rubetek сразу же, как только обнаружили уязвимость. На момент публикации материала уязвимость закрыта.
Однако что могло случиться, если бы злоумышленники на самом деле получили доступ к управлению умным домом?
Такой обширный набор данных потенциально позволял организовать полноценную слежку за человеком: узнать, кто и где живет, по каким дням не бывает дома. Зная расписание человека, преступники могли бы попасть в квартиру, предварительно отключив камеры и другие охранные системы через приложение.
И если такой шаг точно был бы замечен любым жителем, то есть и другие, менее очевидные сценарии. Например, благодаря уязвимости можно получить доступ к умным устройствам и дистанционно менять цвета лампочек, температуру полов, бесконечно включать и выключать свет.
Через найденную уязвимость злоумышленник мог бы устроить атаку не на одну квартиру или частный дом, а на несколько тысяч жителей жилого комплекса. Конечно, одновременное отключение пропускных систем не осталось бы незамеченным службами управления ЖК, но как скоро они бы поняли, в чем дело, и какие потери могли бы понести жильцы — открытый вопрос.
Стоит учитывать, что такие уязвимости могут быть обнаружены и в других приложениях для управления умным домом. При этом обычный пользователь практически не имеет шансов узнать, скомпрометировано приложение или нет.
Поэтому при обнаружении малейших подозрений на взлом (новые люди в списке гостей, неавторизованные открытия и закрытия калиток и дверей и так далее) нужно как можно скорее обратиться к администратору приложения и его поставщику.
Возвращаясь к более популярным сценариям, таким, как использование умных устройств в рамках одной, своей квартиры, где нет возможности обратиться к какому-либо администратору сети, мы рекомендуем следовать этим правилам безопасности:
- Защитите свой Wi-Fi-роутер: смените заводской пароль на более надежный, отключите WPS и включите шифрование WP2.
- Выделите отдельную Wi-Fi-сеть для устройств умного дома и установите на нее другой пароль. Современные роутеры позволяют поднимать «гостевые» сети, и тогда в случае взлома, например, умной люльки хакеры не получат доступ к вашим компьютерам и смартфонам.
- Регулярно проверяйте свою сеть на наличие посторонних устройств с помощью защитных приложений. Если все в норме, то мониторинг умного дома покажет информацию только о ваших девайсах.
- Установите надежные пароли на каждое устройство. Запоминать их необязательно — можно использовать менеджер паролей.
- Регулярно обновляйте прошивки всех «умных» устройств, в том числе роутера.
С заботой о вашей безопасности, команда Origin Security
