0
(Billede: CNET/CBS Interactive)
Det viser sig, at en såkaldt smart-home security system ikke er så smart-eller endda at sikre.
En producent af et hjem sikkerhed system bygget af iSmartAlarm, der regninger sig selv som leder i gør-det-selv -, internet-tilsluttede smart home security, har undladt at lappe flere sikkerhedshuller, efter at de blev underhånden videregivet til virksomheden måneder siden.
De værste bugs er en autentificering fejl, som kunne give en hacker mulighed for, blandt andre ting, for at fjernstyre systemet ‘ s alarmer.
På den ene side, at der er en plage, i bedste fald, eller et hjem er udsat for indbrudstyve.
Forskere ved cybersecurity firma BullGuard, som har en kommerciel interesse i tingenes Internet security plads, har fundet flere fejl i iSmartAlarm s Cube hub system, som styrer de forskellige sensorer og kameraer rundt omkring i huset.
“En ikke-autoriseret angriber kan ihærdigt på kompromis iSmartAlarm ved at anvende en række forskellige metoder, der fører til fuldstændig tab af funktionalitet, integritet og pålidelighed, afhængigt af de foranstaltninger, der er truffet af angriberen,” sagde Ilia Shnaidman, leder af forskning i sikkerhed på BullGuard, i et blog-indlæg. “For eksempel, at en hacker kan få adgang til hele iSmartAlarm kundebase, brugernes private data, dets brugere hjem adresse, alarm frakobling og ‘velkommen til min hjemme-tegnet’.”
Shnaidman sagde gennem en teknik, som tillod ham at generere en ny krypteringsnøgle, kan en hacker kan underskrive og sende et sæt af tre kommandoer — afvæbne, arm, eller gå i panik (der lyder en alarm).
Flere andre bugs i softwaren forbliver uændrede, herunder en fejl, der gør det muligt for en hacker at deaktivere enheden via et denial-of-service-angreb. Forskeren fandt også hard-kodet tekst-legitimationsoplysninger, der er gemt i den software, der tillader en angriber fuld adgang til virksomhedens støtte website, som indeholder optegnelser og personlige oplysninger om andre kunder.
Shnaidman offentliggjorde sine resultater, efter at selskabet fik ikke svar på hans egen offentliggørelse.
Selskabets hjemmeside viser, at der er nogen firmware senere end 21 Marts, hvilket tyder på, bugs har endnu til at være fast.
iSmartAlarm ikke returnere en anmodning om kommentarer.
Kontakt mig sikkert
Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UNDERSØGELSER
Lækket TSA dokumenter afslører New York airport ‘ s bølge af sikkerhed bortfalder
Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden
Ved den AMERIKANSKE grænse: Diskrimineret, tilbageholdt, søgte forhørt
Millioner af Verizon kunde registreringer, der vises i sikkerhed bortfalder
Mød den dunkle tech mæglere at levere dine data til NSA
Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner
FCC-formand stemte for at sælge dine browserdata — så vi bad om at se hans
Med en enkelt telefonaflytning for de AMERIKANSKE myndigheder lyttede på 3,3 mio telefonopkald
198 millioner Amerikanere er ramt af ” største nogensinde fra vælgerne, registreringer lækage
Storbritannien har bestået den “mest ekstreme overvågning lov, der nogensinde er gået i et demokrati”
Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det
Lækket dokument, der afslører BRITISKE planer for større internet-overvågning
0