Уязвимость в Rubetek Home позволяла получить доступ к умному дому

Екатерина Быстрова 23 Мая 2025 - 14:25

Домашние пользователи

Корпорации

Android

iOS

Лаборатория Касперского

Уязвимости программ

Патчи

...

Уязвимость в Rubetek Home позволяла получить доступ к умному дому

Специалисты из команды Kaspersky GReAT обнаружили уязвимость в мобильном приложении Rubetek Home, предназначенном для управления устройствами «умного дома».

Проблема касалась как Android-, так и iOS-версий приложения и потенциально позволяла злоумышленникам получить доступ к личным данным пользователей, а также управлять оборудованием в квартирах и жилых комплексах.

Суть уязвимости — в способе сбора аналитики. Разработчики использовали Telegram-бота, чтобы отправлять отладочные данные и логи из приложения прямо в закрытый чат команды. Это удобно, но небезопасно: оказалось, что при определённых действиях злоумышленники могли переслать эти данные себе.

В таких логах могли оказаться:

личная информация пользователей и данные о жилом комплексе или доме;
список «умных» устройств и история их активности;
системные данные об устройствах в локальной сети (MAC, IP, тип устройства);
IP-адреса, через которые шло подключение к камерам (в том числе через WEBRTC);
переписка пользователей с техподдержкой;
фотографии с камер и домофонов;
токены, с помощью которых можно было получить доступ к аккаунтам.

По сути, этого было бы достаточно, чтобы получить удалённый доступ к системе: открыть ворота, посмотреть, кто заходил в дом, или даже управлять домашними устройствами — если они были подключены и правильно настроены.

Разработчик Rubetek оперативно отреагировал: уязвимость устранили, обновления для обеих платформ уже выпущены. Кроме того, компания поделилась своим комментарием:

«В действительности, мы вместе с Kaspersky проделали большую работу по устранению уязвимости и оперативно улучшили работу приложения, что подтверждает - такие партнерства игроков индустрии помогают совершенствовать продукт и создавать безопасную цифровую среду для наших пользователей и заказчиков», — отмечают в пресс-службе компании Rubetek. «Компания планирует и дальше проводить подобные тесты, чтобы данные пользователей всегда находились под надежной защитой, а наши клиенты могли спокойно наслаждаться уютом и атмосферой, которые дарят наши устройства и приложения».

Специалисты напоминают: Telegram — это не площадка для безопасной передачи конфиденциальных данных. При использовании ботов важно не только фильтровать информацию, которую вы пересылаете, но и ограничивать доступ к чатам и пересылку сообщений через настройки или специальные параметры вроде protect_content.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 19 Декабря 2025 - 09:34

Соответствие законодательству РФ Общее Защита от мошенничества Соответствие требованиям регуляторов

Базу IMEI будут использовать для обеления серых устройств

С 2027 года в России планируют ввести платную регистрацию смартфонов и других устройств с поддержкой мобильной связи. Размер сбора будет зависеть от стоимости гаджета. А уже с 2028 года незарегистрированные устройства могут лишиться возможности работать в сетях российских операторов.

О подготовке такого механизма сообщили «Коммерсанту» в Минцифры. Инициатива направлена на «обеление» рынка мобильных устройств, объём которого, по оценкам ведомства, достигает 1 трлн рублей.

«Сейчас прорабатывается несколько моделей регистрации устройств в базе. В том числе обсуждается взимание небольшой фиксированной платы для официально ввезённых устройств, а для ввезенных “всерую” — сбора в виде определённого процента от стоимости», — сообщили в пресс-службе Минцифры в ответ на запрос издания.

Порядок регистрации и конкретные тарифы пока находятся в стадии обсуждения. В министерстве ожидают, что нормативная база будет утверждена в 2027 году, а с 2028-го доступ к сетям получат только устройства, внесённые в реестр.

«Конкретный IMEI будет указываться в договоре с абонентом. Для пользователя это означает, что вставить сим-карту в устройство, IMEI которого не прописан в договоре, будет невозможно», — пояснил один из источников издания.

Средства, собранные за регистрацию устройств, по данным источников «Коммерсанта», либо направят в федеральный бюджет, либо в резерв универсального обслуживания. Из него, в частности, финансируется строительство базовых станций в малых населённых пунктах.

Объём «серого» рынка мобильных устройств в России оценивается почти в 1 трлн рублей. При этом повышение НДС, по мнению собеседников издания, может дополнительно простимулировать рост неофициального импорта.

«Среди устройств стоимостью выше 100 тыс. рублей как минимум половина завозится по карго-схемам и через трансграничную электронную коммерцию. Это не менее 200 млрд рублей. Разница в цене делает долю серого импорта крайне высокой», — отмечают в Inventive Retail Group. Аналогичных оценок придерживаются и в МТС.

«Незарегистрированные устройства просто перестанут работать в сетях операторов, что лишает смысла контрабандный ввоз. При этом привязка устройств к абонентам расширяет возможности идентификации пользователей. Но если база IMEI окажется недоступной, это может парализовать мобильную связь — система станет единой точкой отказа», — считает партнёр практики «Цифровая трансформация» Strategy Partners Сергей Кудряшов.

Единую базу IMEI в России планируют запустить уже в 2026 году. О её создании объявили 17 декабря на заседании Общественного совета при Минцифры.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »