В охранных системах iSmartAlarm найдены множественные уязвимости

Александр Панасенко 18 Июля 2017 - 09:31

...

Специалист компании Bullguard Security Илья Шнайдман (Ilia Shnaidman) рассказал в своем блоге о множественных уязвимостях в составе продуктов iSmartAlarm. iSmartAlarm производит самые разные IoT-решения в области безопасности, в том числе дверные сенсоры, датчики движения, камеры, замки, а также блоки контроллеров, которые носят название Cube.

Все это сопрягается с приложениями для iOS и Android, а также Alexa и в теории позволяет организовать современный «умный» и безопасный дом. Еще в январе 2017 года Шнайдман обнаружил в составе iSmartAlarm и iSmartAlarm Cube целую россыпь багов, однако все его попытки связаться с производителем не принесли никаких результатов. В частности, исследователь нашел в проблемы с валидацией SSL-сертификатов, проблемы с аутентификацией, уязвимость перед DoS-атаками, а также баг в access control.

Специалист отмечает, что для компании, производящей системы безопасности, iSmartAlarm выпускает продукты с совсем очевидными проблемами. К примеру, баг с валидацией SSL-сертификатов компрометирует все данные, передаваемые от решений iSmartAlarm мобильному приложению пользователя. Исследователь обнаружил, что во время SSL-хендшейка с сервером Cube вообще не проверяет аутентичность сертификата. Шнайдману осталось лишь подделать самоподписанный сертификат, чтобы перехватить контроль над всем трафиком, идущим от Cube к серверу и обратно, пишет xakep.ru.

Как уже было сказано выше, к сожалению, исправлений для найденных специалистом багов все еще нет, так как Шнайдман попросту не сумел связаться с разработчиками iSmartAlarm, — все его запросы проигнорировали.

Стоит сказать, что это не первый случай, когда исследователи обнаруживают, что IoT-устройства, призванные защищать пользователей, скорее вредят им. Так, в 2016 году специалисты Rapid7 рассказывали о баге в домашних системах безопасности компании Comcast. По сути, уязвимость позволяла домушникам пробраться в квартиру или дом, отключив охранную систему с помощью банального устройства для создания радиопомех.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Мая 2026 - 09:07

Windows Трояны Домашние пользователи

Новый троян крадёт банковские данные и сам рассылает себя через WhatsApp

Исследователи из Elastic Security Labs обнаружили новый банковский троян TCLBanker. Он нацелен на 59 банковских, финтех- и криптовалютных платформ и распространяется через троянизированный MSI-установщик, замаскированный под Logitech AI Prompt Builder.

После заражения TCLBanker загружается в контексте легитимного приложения Logitech через стороннюю загрузку DLL. Такой подход помогает выглядеть менее подозрительно для защитных решений.

Троян также активно сопротивляется анализу. Он проверяет окружение, мешает запуску в песочницах и следит за появлением инструментов вроде IDA, Ghidra, x64dbg, dnSpy, Frida и ProcessHacker. Если замечает признаки анализа, вредоносная составляющая может не раскрыться.

Основной банковский модуль раз в секунду отслеживает адресную строку браузера через Windows UI Automation API. Если пользователь открывает сайт одной из целевых финансовых платформ, троян связывается с командным сервером и передаёт сведения о системе и жертве.

Дальше оператор получает довольно широкий набор возможностей: просмотр экрана в реальном времени, снятие скриншотов, кейлоггинг, перехват буфера обмена, выполнение команд, управление окнами, доступ к файловой системе и удалённое управление мышью и клавиатурой. Во время активной сессии троян может завершать процесс Диспетчера задач, чтобы пользователь не заметил происходящее.

Для кражи данных TCLBanker использует поддельные оверлеи. Он может показывать фейковые формы входа, ввод ПИН-кода, окна поддержки банка, экраны ожидания, имитацию Windows Update и другие элементы, которые маскируют действия злоумышленников.

Отдельно исследователи выделяют модуль самораспространения. TCLBanker ищет данные WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) в профилях Chromium, запускает скрытый экземпляр браузера и использует аккаунт жертвы для рассылки сообщений контактам.

Ещё один модуль работает через Microsoft Outlook. Вредоносная программа запускает Outlook, собирает контакты и адреса отправителей, а затем рассылает фишинговые письма уже с почты жертвы.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!