Обнаружена уязвимость в центре управления умным домом

Олег Иванов 27 Февраля 2018 - 16:48

...

Обнаружена уязвимость в центре управления умным домом

Исследователи «Лаборатории Касперского» протестировали один из хабов для умного дома — это устройство для централизованного управления всеми сенсорами и IoT-техникой в системе. Анализ показал, что через обнаруженные уязвимости злоумышленники могут получить доступ к различной информации, например, скачать архив с персональными данными пользователей, войти в их аккаунт и в результате получить контроль над всеми устройствами, подключёнными к умному дому.

Ключевым элементом в умном доме является смарт-хаб. Он отвечает за сбор информации с сенсоров и управление ими. Благодаря таким хабам настройки всех устройств можно централизованно регулировать через веб-интерфейс или мобильное приложение. Однако это делает смарт-хабы привлекательной мишенью для злоумышленников и потенциальной точкой входа для проведения атак.

Так, эксперты «Лаборатории Касперского» обнаружили, что изученный хаб отсылает серверу данные пользователя, включая его ID и пароль, а иногда и другую персональную информацию, например, номер телефона. Злоумышленники могут получить доступ к передаваемому архиву, отправив серверу легитимный запрос с серийным номером устройства. Его, в свою очередь, можно подобрать методом обычного перебора и затем проверить легитимность через запрос к сервису. Если устройство с этим серийным номером зарегистрировано в облачной системе, преступники получат от неё подтверждение. В результате они смогут войти в аккаунт пользователя и управлять настройками сенсоров и контроллеров, присоединённых к хабу.

«Лаборатория Касперского» сообщила производителю устройства о найденных уязвимостях, сейчас идёт работа над их исправлением.

«Последние несколько лет умные устройства находятся под пристальным вниманием экспертов по кибербезопасности. К сожалению, такие девайсы всё ещё часто оказываются небезопасными. Мы выбрали смарт-хаб для изучения практически наугад, и то, что он оказался уязвимым для атак — лишь подтверждает этот факт. Вполне возможно, что сегодня буквально в каждом IoT-устройстве, даже самом простом, есть как минимум одна проблема с безопасностью. Например, недавно мы исследовали умную лампочку. Казалось бы, что может пойти не так с устройством, единственная возможность которого — менять параметры освещения с помощью смартфона? Но мы обнаружили, что эта лампочка хранит все данные для входа в Wi-Fi-сети, к которым она подключалась. Причём хранит их в незашифрованном виде. Другими словами, сегодня ситуация в области безопасности IoT-устройств такова, что даже лампочка может стать «слабым звеном» и использоваться для кибератаки», — добавил Владимир Дащенко, руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей Kaspersky Lab ICS CERT.

«Крайне важно, чтобы производители задумывались о безопасности устройств и их пользователей на этапе разработки своих продуктов. Даже малейший недочёт в системе киберзащиты может привести к печальным последствиям», — подчеркнул Владимир.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Марта 2026 - 12:13

Уязвимости программ Ошибки конфигурации программ Домашние пользователи

Новая вектор атаки заставляет ИИ не замечать опасные команды на сайтах

Специалисты LayerX описали новую атаку, которая бьёт по самому неприятному месту современных ИИ-ассистентов — разрыву между тем, что видит браузер, и тем, что анализирует модель. В результате пользователь может видеть на странице вполне конкретную вредоносную команду, а ИИ при проверке будет считать, что всё безопасно.

Схема построена на довольно изящном трюке с рендерингом шрифтов. Исследователи использовали кастомные шрифты, подмену символов и CSS, чтобы спрятать в HTML один текст, а пользователю в браузере показать совсем другой.

Для человека на странице отображается команда, которую предлагают выполнить, а вот ИИ-ассистент при анализе HTML видит только безобидное содержимое.

Именно в этом и заключается главная проблема. Ассистент смотрит на структуру страницы как на текст, а браузер превращает её в визуальную картинку. Если атакующий аккуратно разводит эти два слоя, получается ситуация, в которой пользователь и ИИ буквально смотрят на разные версии одной и той же страницы.

В качестве демонстрации LayerX собрала демонстрационный эксплойт на веб-странице, которая обещает некий бонус для игры BioShock, если выполнить показанную на экране команду. Пользователь, естественно, может спросить у ИИ-ассистента, безопасно ли это. И вот тут начинается самое неприятное: модель анализирует «чистую» HTML-версию, не замечает опасную команду и успокаивает пользователя.

То есть атака работает не за счёт взлома браузера или уязвимости в системе, а через старую добрую социальную инженерию, просто усиленную особенностями работы ИИ. Человеку показывают одно, а ассистенту — другое. И если пользователь привык доверять ответу модели, риск становится вполне реальным.

По данным LayerX, ещё в декабре 2025 года техника срабатывала против целого набора популярных ассистентов, включая ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity и ряд других сервисов. При этом исследователи утверждают, что Microsoft была единственной компанией, которая приняла отчёт всерьёз и полностью закрыла проблему у себя. Остальные в основном сочли риск выходящим за рамки, потому что атака всё же требует социальной инженерии.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!