Уязвимость в Rubetek Home позволяла получить доступ к умному дому

Екатерина Быстрова 23 Мая 2025 - 14:25

Домашние пользователи

Корпорации

Android

iOS

Лаборатория Касперского

Уязвимости программ

Патчи

...

Уязвимость в Rubetek Home позволяла получить доступ к умному дому

Специалисты из команды Kaspersky GReAT обнаружили уязвимость в мобильном приложении Rubetek Home, предназначенном для управления устройствами «умного дома».

Проблема касалась как Android-, так и iOS-версий приложения и потенциально позволяла злоумышленникам получить доступ к личным данным пользователей, а также управлять оборудованием в квартирах и жилых комплексах.

Суть уязвимости — в способе сбора аналитики. Разработчики использовали Telegram-бота, чтобы отправлять отладочные данные и логи из приложения прямо в закрытый чат команды. Это удобно, но небезопасно: оказалось, что при определённых действиях злоумышленники могли переслать эти данные себе.

В таких логах могли оказаться:

личная информация пользователей и данные о жилом комплексе или доме;
список «умных» устройств и история их активности;
системные данные об устройствах в локальной сети (MAC, IP, тип устройства);
IP-адреса, через которые шло подключение к камерам (в том числе через WEBRTC);
переписка пользователей с техподдержкой;
фотографии с камер и домофонов;
токены, с помощью которых можно было получить доступ к аккаунтам.

По сути, этого было бы достаточно, чтобы получить удалённый доступ к системе: открыть ворота, посмотреть, кто заходил в дом, или даже управлять домашними устройствами — если они были подключены и правильно настроены.

Разработчик Rubetek оперативно отреагировал: уязвимость устранили, обновления для обеих платформ уже выпущены. Кроме того, компания поделилась своим комментарием:

«В действительности, мы вместе с Kaspersky проделали большую работу по устранению уязвимости и оперативно улучшили работу приложения, что подтверждает - такие партнерства игроков индустрии помогают совершенствовать продукт и создавать безопасную цифровую среду для наших пользователей и заказчиков», — отмечают в пресс-службе компании Rubetek. «Компания планирует и дальше проводить подобные тесты, чтобы данные пользователей всегда находились под надежной защитой, а наши клиенты могли спокойно наслаждаться уютом и атмосферой, которые дарят наши устройства и приложения».

Специалисты напоминают: Telegram — это не площадка для безопасной передачи конфиденциальных данных. При использовании ботов важно не только фильтровать информацию, которую вы пересылаете, но и ограничивать доступ к чатам и пересылку сообщений через настройки или специальные параметры вроде protect_content.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Яков Шпунт 10 Февраля 2026 - 12:08

Соответствие законодательству РФ Общее

ГАИ проиграла суд против роботов-доставщиков

Московский городской суд отклонил жалобу ГАИ на решение суда первой инстанции, который не усмотрел в действиях роботов-доставщиков состава административного правонарушения, связанного с нарушением Правил дорожного движения. Ранее ГАИ обвинило дочернюю компанию Яндекса — «Рободоставку» — в нарушении ПДД.

Поводом для разбирательства стало происшествие 7 марта, когда инспектор ГАИ счёл, что робот-доставщик, передвигавшийся по тротуару, создаёт помехи пешеходам.

По мнению инспектора, это подпадало под статью 12.33 КоАП РФ. Компании «Рободоставка» в этом случае грозил штраф в размере 300 тыс. рублей.

Представители Яндекса с такой трактовкой не согласились, указав, что в действиях роботов-доставщиков отсутствует и не может присутствовать умысел. Дело было рассмотрено в Мещанском районном суде Москвы, который поддержал позицию компании.

«Роботы-доставщики не относятся к транспортным средствам, определённым нормами действующего законодательства. Как следует из видеозаписи, робот-доставщик передвигался по краю тротуара, не перекрывая пешеходную зону, автоматически останавливался при приближении людей. Пешеходы продолжали движение. Контакта, вынужденного сближения, опасных манёвров или остановок зафиксировано не было. Следовательно, объективных признаков угрозы безопасности дорожного движения не имелось», — такую выдержку из решения суда приводит Autonews.

ГАИ с таким решением не согласилась и подала жалобу в Московский городской суд. Однако Мосгорсуд оставил её без удовлетворения. Решение было принято ещё 5 февраля, но опубликовано только вечером 9 февраля.

«Мы работаем над тем, чтобы роботы-доставщики безопасно и корректно интегрировались в городскую среду и городскую инфраструктуру в рамках экспериментального правового режима, а также находимся в постоянном взаимодействии с профильными ведомствами. Подобные кейсы помогают формировать и развивать понятные правила использования автономных устройств в городе по мере накопления практического опыта», — прокомментировали судебное решение в Яндексе.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »