В охранных системах iSmartAlarm найдены множественные уязвимости
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В охранных системах iSmartAlarm найдены множественные уязвимости

Александр Панасенко 18 Июля 2017 - 09:31
...
В охранных системах iSmartAlarm найдены множественные уязвимости

Специалист компании Bullguard Security Илья Шнайдман (Ilia Shnaidman) рассказал в своем блоге о множественных уязвимостях в составе продуктов iSmartAlarm. iSmartAlarm производит самые разные IoT-решения в области безопасности, в том числе дверные сенсоры, датчики движения, камеры, замки, а также блоки контроллеров, которые носят название Cube.

Все это сопрягается с приложениями для iOS и Android, а также Alexa и в теории позволяет организовать современный «умный» и безопасный дом. Еще в январе 2017 года Шнайдман обнаружил в составе iSmartAlarm и iSmartAlarm Cube целую россыпь багов, однако все его попытки связаться с производителем не принесли никаких результатов. В частности, исследователь нашел в проблемы с  валидацией SSL-сертификатов, проблемы с аутентификацией, уязвимость перед DoS-атаками, а также баг в access control.

Специалист отмечает, что для компании, производящей системы безопасности,  iSmartAlarm выпускает продукты с совсем очевидными проблемами. К примеру, баг с валидацией SSL-сертификатов компрометирует все данные, передаваемые от решений iSmartAlarm мобильному приложению пользователя. Исследователь обнаружил, что во время SSL-хендшейка с сервером Cube вообще не проверяет аутентичность сертификата. Шнайдману осталось лишь подделать самоподписанный сертификат, чтобы перехватить контроль над всем трафиком, идущим от Cube к серверу и обратно, пишет xakep.ru.

Как уже было сказано выше, к сожалению, исправлений для найденных специалистом багов все еще нет, так как Шнайдман попросту не сумел связаться с разработчиками iSmartAlarm, — все его запросы проигнорировали.

Стоит сказать, что это не первый случай, когда исследователи обнаруживают, что IoT-устройства, призванные защищать пользователей, скорее вредят им. Так, в 2016 году специалисты Rapid7  рассказывали о баге в домашних системах безопасности компании Comcast. По сути, уязвимость позволяла домушникам пробраться в квартиру или дом, отключив охранную систему с помощью банального устройства для создания радиопомех.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Кривой октябрьский апдейт Windows вновь пробудил BitLocker Recovery Mode
Татьяна Никитина 06 Ноября 2025 - 14:53
Windows Ошибки конфигурации программ Домашние пользователиКорпорации Microsoft
Кривой октябрьский апдейт Windows вновь пробудил BitLocker Recovery Mode

Установка последних накопительных обновлений для Windows 10 и 11 вернула прежнюю проблему. Пользователи стали жаловаться, что после перезагрузки система автоматом уходит в режим обновления BitLocker (Recovery Mode).

Речь идет об апдейтах KB5066791 и KB5066835. По словам разработчиков, затронуты лишь клиентские Windows (10 22H2, 11 24H2 и 11 25H2) на компьютерах с чипами Intel и поддержкой режима ожидания с подключением (Connected Standby).

Ранее конфликтов между Standby и BitLocker Recovery Mode, который обычно включается при смене аппаратного обеспечения или прошивки, не наблюдалось.

При появлении экрана BitLocker Recovery следует ввести соответствующий ключ для разблокировки защищенных данных. Он хранится в настройках аккаунта Microsoft, и в случае нужды его можно раздобыть со смартфона.

 

Без заветного ключа данные на дисках, прежде всего на C, будут безвозвратно потеряны. В Microsoft уже работают над устранением проблемы и пытаются откатить некоторые обновления через KIR.

К сожалению, жалобы на BitLocker и автоматическое шифрование данных на Windows-устройствах стали общим местом. Из-за осложнений, возникающих из-за дефолтно включенного защитного механизма и его конфликтов с апдейтами, пользователи стали терять доступ к важным данным едва ли не чаще, чем в результате кибератак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Как мошенники атакуют жителей новых регионов
Новость
Как мошенники атакуют жителей новых регионов
В СёрчИнформ FileAuditor появилась функция временного доступа к файлам
Новость
В СёрчИнформ FileAuditor появилась функция временного доступ...
В Telegram нашли 4 тыс. ссылок на фейковые лотереи с охватом 74 млн
Новость
В Telegram нашли 4 тыс. ссылок на фейковые лотереи с охватом...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.