В охранных системах iSmartAlarm найдены множественные уязвимости

Александр Панасенко 18 Июля 2017 - 09:31

...

Специалист компании Bullguard Security Илья Шнайдман (Ilia Shnaidman) рассказал в своем блоге о множественных уязвимостях в составе продуктов iSmartAlarm. iSmartAlarm производит самые разные IoT-решения в области безопасности, в том числе дверные сенсоры, датчики движения, камеры, замки, а также блоки контроллеров, которые носят название Cube.

Все это сопрягается с приложениями для iOS и Android, а также Alexa и в теории позволяет организовать современный «умный» и безопасный дом. Еще в январе 2017 года Шнайдман обнаружил в составе iSmartAlarm и iSmartAlarm Cube целую россыпь багов, однако все его попытки связаться с производителем не принесли никаких результатов. В частности, исследователь нашел в проблемы с валидацией SSL-сертификатов, проблемы с аутентификацией, уязвимость перед DoS-атаками, а также баг в access control.

Специалист отмечает, что для компании, производящей системы безопасности, iSmartAlarm выпускает продукты с совсем очевидными проблемами. К примеру, баг с валидацией SSL-сертификатов компрометирует все данные, передаваемые от решений iSmartAlarm мобильному приложению пользователя. Исследователь обнаружил, что во время SSL-хендшейка с сервером Cube вообще не проверяет аутентичность сертификата. Шнайдману осталось лишь подделать самоподписанный сертификат, чтобы перехватить контроль над всем трафиком, идущим от Cube к серверу и обратно, пишет xakep.ru.

Как уже было сказано выше, к сожалению, исправлений для найденных специалистом багов все еще нет, так как Шнайдман попросту не сумел связаться с разработчиками iSmartAlarm, — все его запросы проигнорировали.

Стоит сказать, что это не первый случай, когда исследователи обнаруживают, что IoT-устройства, призванные защищать пользователей, скорее вредят им. Так, в 2016 году специалисты Rapid7 рассказывали о баге в домашних системах безопасности компании Comcast. По сути, уязвимость позволяла домушникам пробраться в квартиру или дом, отключив охранную систему с помощью банального устройства для создания радиопомех.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 08 Декабря 2025 - 20:40

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Microsoft исправила сбои поиска и ошибки Проводника в Windows 11

Microsoft выпустила новую сборку Windows 11 Insider Preview — Build 26220.7344 (KB5070316) для каналов Dev и Beta ветки 25H2. Помимо улучшений механизма быстрого восстановления, платформы Update Orchestration Platform (UOP) и ряда внутренних механизмов, обновление приносит набор давно ожидаемых исправлений.

Многие из этих фиксов закрывают ошибки, на которые бета-тестеры жаловались в последних релизах.

Так, в поиске устранили проблему, из-за которой окно неожиданно «всплывало» над панелью задач. Проводник теперь корректно ведёт себя и больше не показывает раздел «AI Actions», если такие действия недоступны или отключены. Также исправлена ошибка, из-за которой проводник отказывался искать файлы на некоторых SMB-ресурсах.

Windows Hello снова в строю: сбой, ломавший работу сканера отпечатков для части тестировщиков, устранён. Поправили и отображение панели Project — она могла не появляться после нажатия Win+P.

Пользователи новой полноэкранной Xbox-оболочки тоже получат улучшения: виртуальная клавиатура теперь корректно появляется на устройствах без сенсорного экрана, когда она действительно нужна.

Кроме того, в Microsoft закрыли несколько неприятных системных проблем. В частности, устранён баг, вызывавший синий экран с ошибкой DRIVER_IRQL_NOT_LESS_OR_EQUAL при использовании контроллера.

Ещё одно скрытое, но важное исправление решает проблему, из-за которой система могла намертво зависнуть при попытке запустить терминал Windows с повышенными правами, используя аккаунт без админ-доступа.

Обновление постепенно распространяется среди участников программы Windows Insider.