В жилые комплексы можно вломиться с помощью телефона за считанные минуты
Ряд жилых комплексов, использующих подключенные к Интернету системы домофонов/входов, по-прежнему используют свои учетные данные по умолчанию, что делает их полностью доступными для любого, кто достаточно подкован, чтобы загуглить руководство по их блоку. Фактически, программист Эрик Дейгл легко взломал систему управления зданием, что позволило ему удаленно разблокировать дверь любой квартиры. Дейгл обнаружил эту уязвимость в системах безопасности Hirsch Enterphone Mesh IoT, линейке продуктов защищенных терминалов доступа для обеспечения безопасности зданий, широко используемых в Канаде.
Интернет вещей прочно укоренился в современных системах безопасности зданий, включая современные жилые комплексы, которые стремятся использовать что-то более безопасное или современное, чем телефонные линии, для регулирования доступа к безопасным входам. В случае с системами Mesh производства Hirsch онлайн-портал отслеживает и регистрирует все брелоки, используемые в здании, и может использоваться для удаленного доступа к запертым дверям.
Google: Google — поисковая система. Google — компания Google Inc. Google Foundation — благотворительный фонд. Google.by — домен и сайт, до 2009 года принадлежавший белорусской компании ActiveMedia. Википедия
Читайте также:Google Cloud запускает первые экземпляры Blackwell AI на базе GPUКитай снова расследует Google и NvidiaHTC объявляет о соглашении XR с GoogleНовые игровые мониторы HP Omen включают 280 Гц IPS Black и опции Google TVMozilla, по-видимому, готовится к антимонопольному иску Google с новым партнером по поиску
Руководство пользователя Hirsch и официальный ответ TechCrunch предполагают, что конечные пользователи должны изменить учетные данные по умолчанию своих систем после развертывания. Однако, поскольку в руководстве нет инструкций о том, как это сделать, конечные пользователи вряд ли последуют этому важному шагу безопасности, который был источником уязвимостей с самого начала интернет-безопасности. Простой поиск в Google имени страницы входа администратора, используемой для всех систем безопасности Identiv/Hirsch, и ввод имени входа по умолчанию дает вам возможность получить доступ к любой системе, созданной Hirsch.
На домашней странице панели безопасности, доступной через Интернет, можно увидеть полные имена жильцов, номера их комнат и телефонные номера. Просто ради забавы вы также можете найти многолетний журнал активации каждого брелока по всему зданию, что позволяет злоумышленникам находить схемы входа и выхода для каждого члена комплекса. Если этой информации недостаточно, можно разблокировать любую подключенную дверь по всему комплексу с того же веб-портала.
С помощью быстрого запроса ZoomEye Daigle приходит к выводу, что около 100 жилых комплексов, использующих уязвимую систему Hirsch, уязвимы к этой уязвимости, причем большинство из них находятся в Канаде. В предыдущих ответах СМИ Hirsch пояснила, что не будет устранять эту уязвимость безопасности, оцененную как 10/10 Критическая в Национальной базе данных уязвимостей. Hirsch настаивает, что конечный пользователь должен изменить логин по умолчанию со своей стороны, не предоставляя подробностей о том, как это сделать, в своей инструкции.
Компания Hirsch также заявила, что не будет информировать затронутых пользователей своих продуктов об этой уязвимости. Обеспокоенные люди на рабочих местах, в школах или квартирах, использующие систему безопасности Hirsch MESH (иногда также называемую Viscount или Enterphone, в зависимости от модели), могут обратиться к администраторам здания, чтобы убедиться, что в их подразделении изменены учетные данные по умолчанию. Благодаря IoT мы можем отказаться от физических ключей и вместо этого сделать наши дома доступными удаленно для любого, у кого есть телефон и возможность поиска в Google.
Источник: Tomshardware.com
0 комментариев