Найдены уязвимости «умной» системы домашней сигнализации

Исследователи продолжают обнаруживать все новые уязвимые устройства «интернета вещей». Очередной такой находкой стали, по иронии судьбы, «умные» системы домашней сигнализации iSmartAlarm. Они, призванные вроде бы укрепить безопасность, могут помочь не только своим хозяевам, но и грабителям. Система iSmartAlarm объединяет с помощью центрального процессора CubeOne датчики движения, камеры наблюдения и другие элементы охраны дома и позволяет контролировать их с помощью смартфона.

Однако эксперт компании Bullguard Security Илья Шнайдман обнаружил ряд серьезных уязвимостей в этой системе. В частности, CubeOne во время установления соединения с сервером не проверяет подлинность его сертификата. Шнайдман создал сертификат, который он заверил сам, и получил возможность контролировать трафик CubeOne. Ошибка системы при работе с криптографическим алгоритмом XXTEA позволила исследователю создать собственный ключ шифрования, признанный iSmartAlarm как действительный. Наконец, Шнайдман нашел возможность провести атаку на отказ в обслуживании, полностью выведя систему из строя. Все эти проблемы не позволяют говорить о том, что iSmartAlarm действительно обеспечивает надежную защиту домов. Исследователь пытался сообщить об уязвимостях производителю, однако, не получив ответа, принял решение обнародовать информацию.