06.04.2023 | Оставьте дверь гаража открытой: Nexx заботится о вашем душевном спокойствии, но забывает о безопасности |
Американский исследователь безопасности по имени Сэм Сабетан обнаружил ряд уязвимостей в умных контроллерах для открывания гаражей марки Nexx и сообщил, что может удалённо находить нужные ему гаражи, а затем открывать их через Интернет. По данным исследователя, компания Nexx, занимающаяся производством и распространением IoT -оборудования, не отвечает на его попытки конфиденциально сообщить о найденных уязвимостях в течение уже нескольких месяцев. Поэтому специалист и решил публично раскрыть информацию, в надежде, что «хотфикс» от компании не заставит себе долго ждать. Умные контроллеры Nexx подключаются к существующему устройству открывания гаражных ворот. После добавления в домашнюю Wi-Fi -сеть устройства позволяют владельцу удалённо открывать и закрывать свой гараж через приложение для смартфона. «Жизнь и так достаточно сложна. Вспоминать, оставили ли вы дверь гаража открытой, должно быть наименьшей из ваших забот: получите душевное спокойствие», — заявляет компания Nexx на своём официальном веб-сайте . Что ж, авторы лозунга, видимо, забыли добавить, что к душевному спокойствию может добавиться сердечный приступ при виде пустого гаража. Сабетан также записал и опубликовал видео , на котором продемонстрировал, как работают уязвимости. После фиксации данных открытия/закрытия ворот через приложение MQTT Explorer , исследователь получил информацию не только о своём собственном устройстве, но и данные ещё с 558 других устройств, которые ему не принадлежат. Согласно видео, он смог увидеть идентификатор устройств, адреса электронной почты и имена их владельцев. Затем Сабетан воспроизвёл команду через тот же MQTT Explorer, а не через фирменное приложение, и его дверь снова открылась. Таким образом, исследователь мог не просто наугад открывать гаражные ворота других пользователей контроллеров Nexx, он мог точно знать, чьи ворота открывает. Попади такой инструмент в руки хакеров, лишь вопросом времени бы стала тщательная подготовка, выбор жертвы и последующая кража автомобиля прямо из гаража. Либо же кража дорогостоящей техники из дома жертвы. Исследователь также отметил, что на сайте Nexx доступны и другие IoT-устройства, по типу умных розеток или сигнализаций. По всей видимости, они имеют схожую уязвимость. Грамотный хакер наверняка сможет придумать, как это можно использовать, чтобы нажиться на простых американских работягах. Сабетан неоднократно писал в Nexx лично и просил об этом новостные издания. Никакой реакции не последовало. Американец даже проинформировал о найденных уязвимостях напрямую CISA , представители которой оперативно отреагировали и присвоили каждой уязвимости свой идентификатор и оценку по шкале CVSS . Суммарно исследователем было обнаружено 5 уязвимостей, среди которых:
Похоже, Nexx целенаправленно игнорирует предупреждения об уязвимостях, потому что банально не имеет возможности исправить их. Или же дело в чём-то другом? Так или иначе, антирекламу компания себе устроила отличную, вряд ли после этого случая американцы вообще захотят связываться с данным брендом. |
Проверить безопасность сайта