0
(Immagine: CNET/CBS Interactive)
Si scopre che una cosiddetta casa intelligente sistema di sicurezza non è così intelligente, o anche che sicuro.
Un produttore di un sistema di sicurezza domestica costruito da iSmartAlarm, che si presenta come leader nel fai-da-te, collegato a internet smart home security, è riuscito a patch diverse falle di sicurezza, dopo che sono state privatamente comunicati a societa mesi fa.
Il peggiore dei bug è un bypass dell’autenticazione bug che potrebbe consentire a un utente malintenzionato, tra le altre cose, di controllare in remoto il sistema di allarme.
Da un lato, che un fastidio al meglio, o una casa esposta per i ladri.
I ricercatori di sicurezza informatica azienda BullGuard, che ha un interesse commerciale nell’Internet delle Cose ” spazio di sicurezza, trovato diversi bug in iSmartAlarm s Cube hub system, che consente di controllare i vari sensori e telecamere in giro per la casa.
“A un utente malintenzionato può persistere di compromettere la iSmartAlarm mediante l’impiego di un certo numero di metodi differenti che conduce alla completa perdita di funzionalità, l’integrità e affidabilità, a seconda delle azioni intraprese dall’aggressore”, ha detto Ilia Shnaidman, responsabile della ricerca sulla sicurezza BullGuard, in un post sul blog. “Per esempio, un utente malintenzionato di ottenere l’accesso a tutto il iSmartAlarm base di clienti, dei suoi utenti e di dati privati, dei suoi utenti e indirizzo di casa, allarme disarmante e ‘benvenuti a casa mia firma’.”
Shnaidman ha detto attraverso una tecnica che gli ha permesso di generare una nuova chiave di crittografia, un utente malintenzionato può inviare un set di tre comandi — disarmare, braccio, o di panico (che suona l’allarme).
Molti altri bug nel software sono protetti, tra cui una falla che permette a un utente malintenzionato di disattivare l’unità attraverso un denial-of-service attack. Il ricercatore ha anche trovato hard-coded in chiaro le credenziali memorizzate nel software, per consentire a un hacker l’accesso completo accesso a il dell’azienda sito web di supporto-che contiene i record e informazioni personali di altri clienti.
Shnaidman pubblicato le sue scoperte dopo che l’azienda ha preferito non rispondere alla sua divulgazione.
Il sito web della società, dimostra che c’è nessun firmware più tardi, il 21 Marzo, suggerendo che il bug non ancora risolto.
iSmartAlarm non ha restituito una richiesta di commento.
In contatto con me in modo sicuro
Zack Whittaker può essere raggiunto in modo sicuro sul Segnale e WhatsApp al 646-755-8849, e la sua PGP impronte digitali per l’e-mail è: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET INDAGINI
Trapelate TSA documenti rivelano aeroporto di New York ondata di falle di sicurezza
Governo USA ha spinto le ditte di tecnologia a portata di mano il codice sorgente
Al confine con gli stati UNITI: Discriminati, arrestato, perquisito, interrogato
Milioni di cliente di Verizon record esposti nell’intervallo di sicurezza
Soddisfare le oscure tech broker che forniscono i dati alla NSA
All’interno del terrore globale incagli che segretamente ombre milioni
FCC presidente votato per vendere la vostra cronologia di navigazione — così abbiamo chiesto di vedere la sua
Con un unico wiretap ordine, autorità ascoltato in su 3,3 milioni di telefonate
198 milioni di Americani colpiti da ‘più grande mai’ elettore record di perdita di
La gran bretagna ha superato le più estreme di sorveglianza legge mai passato in una democrazia’
Microsoft dice ‘non sono noti ransomware’ gira su Windows 10 S — in questo modo abbiamo cercato per elaborarlo
Trapelato un documento rivela regno UNITO piani per una più ampia sorveglianza
0