HP выявила серьезные уязвимости в домашних системах безопасности

HP выявила серьезные уязвимости в домашних системах безопасности

HP опубликовала результаты исследования, демонстрирующего, что наблюдение за домами, оснащенными системами безопасности с подключением к Интернету, могут осуществлять не только их владельцы, но и злоумышленники. Все без исключения проанализированные устройства, используемые для обеспечения безопасности домов, имеют серьезные уязвимости, в том числе связанные с защитой паролем, шифрованием и проверкой подлинности.

Домашние средства мониторинга, такие как видеокамеры и системы сигнализации, завоевали популярность на волне бума Интернета вещей (IoT), в первую очередь благодаря их исключительному удобству. По данным Gartner, в 2015 году количество устройств, подключенных к Интернету вещей, составит 4,9 млрд, а к 2020 году оно достигнет 25 млрд(1).Это исследование показывает, насколько плохо с точки зрения безопасности подготовлен рынок к ожидаемым темпам роста IoT.

«Оставляя в стороне удобство и доступность подключенных к Интернету устройств, нужно отметить, что они могут сделать наши дома и семьи уязвимыми, — говорит Джейсон Шмитт (Jason Schmitt), вице-президент и  руководитель подразделения по продуктам Fortify подразделения Enterprise Security Products компании HP. — Учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о самых простых мерах защиты, а производители — о том, что они в, конечном итоге, несут ответственность за безопасность своих пользователей».

HP использовала приложение HP Fortify on Demand для доступа к 10 домашним IoT-устройствам обеспечения безопасности, а также к их облачным и мобильным компонентам, и обнаружила, что ни одна из этих систем не требует использования надежного пароля и не предлагает двухфакторной проверки подлинности.

В числе наиболее распространенных и легко решаемых проблем с безопасностью оказались следующие.

  • Недостаточно надежная проверка подлинности: все системы с их облачными и мобильными интерфейсами не требовали установки паролей достаточной сложности и длины; для большинства было достаточно буквенно-цифрового пароля из шести символов. Ни одна из систем не предлагала возможности заблокировать учетную запись после определенного числа неудачных попыток ввода пароля.
  • Незащищенные интерфейсы: все протестированные облачные веб-интерфейсы имеют проблемы безопасности, позволяющие потенциальному злоумышленнику получить доступ к учетной записи с помощью инструментов, использующих три уязвимости приложения: возможность последовательного перебора значений, слабая политика паролей и отсутствие блокировки учетной записи. В пяти из десяти протестированных систем были выявлены проблемы в интерфейсе мобильного приложения, подвергающие пользователей аналогичным рискам.
  • Проблемы конфиденциальности: все системы собирали некоторые виды персональной информации, такие как имя, адрес, дата рождения, номер телефона и даже номера кредитных карт. Незащищенность этой персональной информации вызывает озабоченность, поскольку создает угрозу кражи учетных данных во всех системах. Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через мобильные приложения и облачные веб-интерфейсы. Конфиденциальность видеоизображений внутренних помещений дома находится под большим вопросом.
  • Отсутствие шифрования при передаче данных: хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак (например, для атаки POODLE). Правильная настройка шифрования на транспортном уровне особенно важна, поскольку безопасность является основной функцией этих систем.

Пока производители IoT-продуктов работают над внедрением столь необходимых средств защиты, потребителям настоятельно рекомендуется учитывать все эти аспекты при выборе системы мониторинга для своего дома. Развертывание безопасных домашних сетей до подключения небезопасных IoT-устройств, использование сложных паролей, блокировки учетных записей и двухфакторной проверки подлинности, — вот лишь некоторые меры, доступные пользователям Интернета вещей.

Эта работа является продолжением исследования Интернета вещей, проведенного HP в 2014 году, в котором была рассмотрена безопасность десяти наиболее распространенных IoT-устройств. 

WinRAR снова чинит опасную дыру: архив мог привести к переполнению памяти

RARLAB выпустила WinRAR 7.23 и закрыла уязвимость CVE-2026-14191, связанную с обработкой восстановительных томов RAR5. Проблема затрагивает WinRAR, RAR и UnRAR до версии 7.23. Подтверждённых кибератак пока нет, но расслабляться всё равно рано.

Ошибка находится в парсере файлов .rev. WinRAR неправильно рассчитывал размер внутреннего списка по первому .rev-файлу, а затем доверял значениям из следующих файлов набора.

Проверки на соответствие реальному размеру не было, из-за чего специально подготовленный архив мог записать данные за пределы буфера.

Итог — переполнение буфера, повреждение памяти и потенциальная возможность для дальнейшей атаки. В лучшем случае приложение просто упадет. В худшем — злоумышленник попробует использовать сбой для выполнения вредоносного кода.

Для срабатывания уязвимости нужно действие пользователя: жертва должна запустить проверку или восстановление вредоносного архива. Но это как раз тот сценарий, который для архиваторов выглядит вполне буднично.

Уязвимость особенно неприятна из-за популярности WinRAR. Архиватор установлен на огромном количестве компьютеров, а такие программы злоумышленники любят: пользователи открывают архивы регулярно и часто без особых подозрений. Тем более что другие баги WinRAR уже активно эксплуатировались в атаках в 2025 году.

В версии 7.23 RARLAB также усилила обработку символических ссылок при распаковке и обновила встроенную библиотеку 7-Zip, чтобы подтянуть исправления из основного проекта. При этом UnRAR.dll не обрабатывает recovery-volume файлы, поэтому именно этот компонент неуязвим к CVE-2026-14191.

Пользователям следует обновиться до WinRAR 7.23 как можно скорее. До установки патча лучше не запускать проверку и восстановление .rev-наборов из непроверенных источников и в целом осторожнее относиться к архивам от неизвестных отправителей.

RSS: Новости на портале Anti-Malware.ru