یک شرکت امنیت سایبری می گوید یک سیستم امنیتی خانه هوشمند محبوب دارای یک جفت آسیب پذیری است که می توان از آنها برای خلع سلاح کلی سیستم استفاده کرد.
Rapid7 این آسیب پذیری ها را در Fortress S03 ، یک سیستم امنیتی خانگی که از Wi-Fi برای اتصال دوربین ها ، سنسورهای حرکت و آژیرها به اینترنت استفاده می کند ، پیدا کرد و به صاحبان اجازه می دهد از راه دور خانه خود را با یک برنامه تلفن همراه کنترل کنند. سیستم امنیتی همچنین با استفاده از یک کلید کنترل رادیویی به صاحبان خانه اجازه می دهد خانه خود را از بیرون درب ورودی خود مسلح یا خلع سلاح کنند.
اما شرکت امنیت سایبری اعلام کرد که این آسیب پذیری ها شامل API تأیید نشده و یک سیگنال رادیویی رمزنگاری شده است که به راحتی قابل رهگیری است.
Rapid7 جزئیات دو آسیب پذیری را روز سه شنبه پس از آنکه در سه ماه از Fortress نشنیدید ، فاش کرد ، استاندارد زمانی که محققان امنیتی برای رفع اشکالات قبل از افشای عمومی به شرکت ها می دهند. Rapid7 گفت که تنها تایید ایمیل آن زمانی است که Fortress بلیط پشتیبانی خود را یک هفته بعد بدون اظهار نظر بست.
مالک قلعه مایکل هوفدیتز باز شد اما به چندین ایمیل ارسال شده توسط TechCrunch با ردیاب باز کردن ایمیل پاسخ نداد. ایمیلی از Bottone Riling ، یک شرکت حقوقی ماساچوست که نماینده Fortress است ، این ادعاها را “دروغین ، عمداً گمراه کننده و افتراآمیز” نامیده است ، اما جزئیاتی را که ادعا می کند دروغ است ، یا اگر Fortress آسیب پذیری ها را کاهش داده است ، ارائه نکرد.
Rapid7 گفت که API غیرمجاز Fortress را می توان از راه دور از طریق اینترنت بدون سرور بررسی کرد که آیا درخواست قانونی است یا خیر. محققان گفتند با اطلاع از آدرس ایمیل صاحب خانه ، سرور IMEI منحصر به فرد دستگاه را باز می گرداند ، که به نوبه خود می تواند برای خلع سلاح از راه دور سیستم مورد استفاده قرار گیرد.
نقص دیگر از سیگنال های رادیویی رمزگذاری نشده ارسال شده بین سیستم امنیتی و کلید اصلی صاحبخانه استفاده می کند. این به Rapid7 اجازه می دهد تا سیگنال های “بازو” و “خلع سلاح” را ضبط و پخش کند زیرا امواج رادیویی به درستی بهم نریخته بودند.
ویشوکارما گفت صاحبان خانه می توانند یک آدرس ایمیل دارای برچسب اضافی با یک رشته طولانی و منحصر به فرد از حروف و اعداد به جای گذرواژه بعنوان یک رمز عبور ، اضافه کنند. اما تا زمانی که Fortress آن را برطرف نکند ، کار چندانی برای صاحبان خانه وجود نداشت.
Fortress اعلام نکرده که آیا این آسیب پذیری ها برطرف شده است یا قصد دارد آن را برطرف کند. مشخص نیست که Fortress قادر است آسیب پذیری ها را بدون جایگزینی سخت افزار برطرف کند. مشخص نیست Fortress خود دستگاه را می سازد یا سخت افزار را از سازنده دیگری خریداری می کند.
بیشتر بخوانید: