Дверные звонки Ring можно было взломать через домашний Wi-Fi
В наши дни к домашней сети может подключиться практически все: от лампочек до гаражных ворот. Но безопасность часто сводится "на нет" внутри этих устройств, особенно наиболее дешевых. Если защита умной лампочки будет стоить на 50 центов больше, чем у конкурентов, то они выиграют бизнес. Однако некоторые устройства IoT действительно должны иметь дополнительную безопасность.
Конечно, удобно открывать дверь гаража с помощью приложения для смартфона, но есть и другая сторона - с этой же функцией и злоумышленники могут попасть внутрь. Эту проблему уже находили в Ring Video Doorbell Pro, но проблему убрали. Сейчас же стали известны все подробности злоумышленных схем. Об этом сообщает Информатор Tech, ссылаясь на Bitdefender.
Разработчики Bitdefender уже давно следят за Интернетом вещей. Пять лет назад они разработали Bitdefender Box, сетевой концентратор безопасности, предназначенный для защиты каждого компьютера, смартфона, планшета и устройства IoT в домашней сети. Разработчики рассуждали, что если бы компании, работающие с устройствами IoT, не собирались встраивать средства безопасности в свои устройства, Bitdefender навязывал бы защиту извне. Но, сейчас не об этом.
Команда Bitdefender сначала проанализировала все способы взаимодействия дверного звонка с другими устройствами. Он ничего не затрагивает в локальной сети, просто использует его для выхода в интернет, что хорошо. Когда он подключается к интернету, он использует безопасное соединение HTTPS, что тоже хорошо. Взаимодействие между приложением для смартфона и самим дверным звонком происходит через безопасное онлайн-соединение, даже когда оба устройства находятся в домашней сети. Команда подтвердила, что никто, кроме официального владельца, не может получить доступ и контролировать дверной звонок. Но.
Помните, как устройство изначально подключается к сети Wi-Fi? Хотя он передает собственный сигнал Wi-Fi, он не защищен. Этот сигнал не имеет шифрования, и любой, кто оказался рядом с подходящим оборудованием, сможет перехватить весь его трафик, включая пароль Wi-Fi. Конечно, это крайне маловероятно, что злоумышленник окажется в нужном месте в нужное время с подходящим оборудованием для захвата этого сигнала. Но исследователи нашли способ обойти это ограничение. Злоумышленник сначала отключает существующее соединение. Это возможно, набрав в сети инструкцию об отмене авторизации дверного звонка как члена сети.
При достаточном переносном значении устройство в конечном итоге отображается в автономном режиме. Дверной звонок все еще звонит, но не отправляет уведомление. Таким образом, владелец замечает это не сразу. В конце концов, владелец должен снова пройти процесс установки. В этот раз злоумышленник готов захватить учетные данные. Теперь злоумышленник имеет полный доступ к сети. Умный злоумышленник может подделать MAC-адрес существующего устройства, поэтому собственник никогда не узнает, что там кто-то есть.
Это достаточно долгий процесс, а взлом с ним более сложный, так как злоумышленнику нужно место, чтобы пребывать в пределах досягаемости Wi-Fi, не вызывая подозрений. Bitdefender уведомил техническую команду Ring об этой уязвимости в июне. Как стандарт в ответственном раскрытии, они дали компании крайний срок, чтобы исправить проблему, после чего они опубликуют материал, в независимости от того, исправят ошибку или нет. На момент написания этой статьи Ring выпустила исправление для всех устройств Ring Video Doorbell Pro.
Узнать еще больше актуальных новостей из мира технологий и игр, а также обсудить их можно в нашем Telegram-канале, и на страничках в Facebook и Instagram.