Специалисты из команды Kaspersky GReAT обнаружили уязвимость в мобильном приложении Rubetek Home, предназначенном для управления устройствами «умного дома».
Проблема касалась как Android-, так и iOS-версий приложения и потенциально позволяла злоумышленникам получить доступ к личным данным пользователей, а также управлять оборудованием в квартирах и жилых комплексах.
Суть уязвимости — в способе сбора аналитики. Разработчики использовали Telegram-бота, чтобы отправлять отладочные данные и логи из приложения прямо в закрытый чат команды. Это удобно, но небезопасно: оказалось, что при определённых действиях злоумышленники могли переслать эти данные себе.
В таких логах могли оказаться:
- личная информация пользователей и данные о жилом комплексе или доме;
- список «умных» устройств и история их активности;
- системные данные об устройствах в локальной сети (MAC, IP, тип устройства);
- IP-адреса, через которые шло подключение к камерам (в том числе через WEBRTC);
- переписка пользователей с техподдержкой;
- фотографии с камер и домофонов;
- токены, с помощью которых можно было получить доступ к аккаунтам.
По сути, этого было бы достаточно, чтобы получить удалённый доступ к системе: открыть ворота, посмотреть, кто заходил в дом, или даже управлять домашними устройствами — если они были подключены и правильно настроены.
Разработчик Rubetek оперативно отреагировал: уязвимость устранили, обновления для обеих платформ уже выпущены.
Специалисты напоминают: Telegram — это не площадка для безопасной передачи конфиденциальных данных. При использовании ботов важно не только фильтровать информацию, которую вы пересылаете, но и ограничивать доступ к чатам и пересылку сообщений через настройки или специальные параметры вроде protect_content
.