Уязвимость в Rubetek Home позволяла получить доступ к умному дому

Уязвимость в Rubetek Home позволяла получить доступ к умному дому

Уязвимость в Rubetek Home позволяла получить доступ к умному дому

Специалисты из команды Kaspersky GReAT обнаружили уязвимость в мобильном приложении Rubetek Home, предназначенном для управления устройствами «умного дома».

Проблема касалась как Android-, так и iOS-версий приложения и потенциально позволяла злоумышленникам получить доступ к личным данным пользователей, а также управлять оборудованием в квартирах и жилых комплексах.

Суть уязвимости — в способе сбора аналитики. Разработчики использовали Telegram-бота, чтобы отправлять отладочные данные и логи из приложения прямо в закрытый чат команды. Это удобно, но небезопасно: оказалось, что при определённых действиях злоумышленники могли переслать эти данные себе.

В таких логах могли оказаться:

  • личная информация пользователей и данные о жилом комплексе или доме;
  • список «умных» устройств и история их активности;
  • системные данные об устройствах в локальной сети (MAC, IP, тип устройства);
  • IP-адреса, через которые шло подключение к камерам (в том числе через WEBRTC);
  • переписка пользователей с техподдержкой;
  • фотографии с камер и домофонов;
  • токены, с помощью которых можно было получить доступ к аккаунтам.

По сути, этого было бы достаточно, чтобы получить удалённый доступ к системе: открыть ворота, посмотреть, кто заходил в дом, или даже управлять домашними устройствами — если они были подключены и правильно настроены.

Разработчик Rubetek оперативно отреагировал: уязвимость устранили, обновления для обеих платформ уже выпущены. Кроме того, компания поделилась своим комментарием:

«В действительности, мы вместе с Kaspersky проделали большую работу по устранению уязвимости и оперативно улучшили работу приложения, что подтверждает - такие партнерства игроков индустрии помогают совершенствовать продукт и создавать безопасную цифровую среду для наших пользователей и заказчиков», — отмечают в пресс-службе компании Rubetek. «Компания планирует и дальше проводить подобные тесты, чтобы данные пользователей всегда находились под надежной защитой, а наши клиенты могли спокойно наслаждаться уютом и атмосферой, которые дарят наши устройства и приложения».

Специалисты напоминают: Telegram — это не площадка для безопасной передачи конфиденциальных данных. При использовании ботов важно не только фильтровать информацию, которую вы пересылаете, но и ограничивать доступ к чатам и пересылку сообщений через настройки или специальные параметры вроде protect_content.

WinRAR снова чинит опасную дыру: архив мог привести к переполнению памяти

RARLAB выпустила WinRAR 7.23 и закрыла уязвимость CVE-2026-14191, связанную с обработкой восстановительных томов RAR5. Проблема затрагивает WinRAR, RAR и UnRAR до версии 7.23. Подтверждённых кибератак пока нет, но расслабляться всё равно рано.

Ошибка находится в парсере файлов .rev. WinRAR неправильно рассчитывал размер внутреннего списка по первому .rev-файлу, а затем доверял значениям из следующих файлов набора.

Проверки на соответствие реальному размеру не было, из-за чего специально подготовленный архив мог записать данные за пределы буфера.

Итог — переполнение буфера, повреждение памяти и потенциальная возможность для дальнейшей атаки. В лучшем случае приложение просто упадет. В худшем — злоумышленник попробует использовать сбой для выполнения вредоносного кода.

Для срабатывания уязвимости нужно действие пользователя: жертва должна запустить проверку или восстановление вредоносного архива. Но это как раз тот сценарий, который для архиваторов выглядит вполне буднично.

Уязвимость особенно неприятна из-за популярности WinRAR. Архиватор установлен на огромном количестве компьютеров, а такие программы злоумышленники любят: пользователи открывают архивы регулярно и часто без особых подозрений. Тем более что другие баги WinRAR уже активно эксплуатировались в атаках в 2025 году.

В версии 7.23 RARLAB также усилила обработку символических ссылок при распаковке и обновила встроенную библиотеку 7-Zip, чтобы подтянуть исправления из основного проекта. При этом UnRAR.dll не обрабатывает recovery-volume файлы, поэтому именно этот компонент неуязвим к CVE-2026-14191.

Пользователям следует обновиться до WinRAR 7.23 как можно скорее. До установки патча лучше не запускать проверку и восстановление .rev-наборов из непроверенных источников и в целом осторожнее относиться к архивам от неизвестных отправителей.

RSS: Новости на портале Anti-Malware.ru