TechSpot praznuje 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.
Zakaj je pomembno: Pred kratkim je varnostni raziskovalec odkril resno ranljivost v priljubljenem varnostnem sistemu pametnega doma. Inženirji so hitro zakrpali luknjo, vendar bi težava še vedno lahko povzročila, da bi bili potrošniki utrujeni od nadzora celotnega varnostnega sistema prek mobilne aplikacije.
Eaton je podjetje, ki se osredotoča na izdelke in storitve, povezane z energijo in elektroniko. Ena najpogosteje uporabljanih Eatonovih storitev je SecureConnect, varnostni sistem v oblaku z mobilno aplikacijo za daljinsko upravljanje. Program uporabnikom omogoča upravljanje različnih varnostnih funkcij, kot je upravljanje sistema ali razorožitev in omogočanje alarmov, kadar je to potrebno.
Ena edinstvena funkcija omogoča uporabnikom, da dodelijo račune skupinam iz aplikacije. Funkcionalnost je v pomoč družinam, ki pridejo in odidejo ob različnih urah in morajo ob različnih urah izključiti varnostni sistem. Na primer, dodajanje otrok v družinsko skupino jim omogoča, da izklopijo alarm in vstopijo v hišo po šoli, ne da bi motili mamo ali očeta pri delu.
Na žalost je raziskovalec varnosti Vangelis Stykas odkril resno ranljivost v funkciji združevanja SecureConnect. Napaka je napadalcu omogočila, da se dodeli kateri koli možni skupini uporabnikov, vključno s skupino „root” podjetja. Stykas je trdil, da je bil v tej skupini „omogočen dostop do vsega”, povezanega z oblačno storitvijo SecureConnect.
Stykas je izkoristil aplikacijo SecureConnect z napadom, znanim kot nevarna referenca neposrednega objekta (IDOR). Z uporabo orodja »človek v sredini«, kot je Burp Suite, bi lahko heker preprosto spremenil svojo skupinsko številko v kar koli želi. V tem primeru je Stykas preklopil svoj račun na skupino 1, ki je Eatonova korenska skupina. Slabi akterji, ki dostopajo do korenske skupine, lahko vidijo registrirana imena, lokacije in določene izdelke drugih uporabnikov. Še huje, ugrabitelji bi teoretično lahko na daljavo nadzorovali varnostne sisteme kogar koli.
Eaton je izdal varnostno obvestilo, v katerem trdi, da je napako našel v svoji logiki avtorizacije skupinskega dostopa. Po besedah Eatonovega tiskovnega predstavnika Jonathana Harta je podjetje prejšnji mesec popravilo ranljivost. Hart ni želel navesti, koliko strank uporablja Eatonov varnostni sistem, zato je težko oceniti število prizadetih uporabnikov. Vendar pa Stykas trdi, da je številka v „visokih deset tisočih.”
Eaton je tudi potrdil, da je bila ranljivost osamljen dogodek, tako da je bil na srečo Stykas edini uporabnik, ki je odkril napako. Rezultati bi lahko bili bistveno slabši, če bi hrošča našli črni klobuki namesto belih klobukov.