0
(Afbeelding: CNET/CBS Interactive)
Het blijkt dat een zogenaamd smart-home-security systeem is niet zo slim — of zelfs veilig is.
Een maker van een home security systeem gebouwd door iSmartAlarm, die zichzelf aanprijst als de marktleider in de doe-het-zelf -, internet-connected smart home security, niet heeft voldaan aan patch verschillende veiligheidsproblemen nadat ze werden onderhands verstrekt aan de vennootschap maanden geleden.
Het ergste van de bugs is een authentication bypass-bug, die een aanvaller kan, onder andere, om op afstand controle over het systeem alarm.
Aan de ene kant dat is een last op zijn best, of een huis blootgesteld aan inbrekers.
Onderzoekers op het gebied van cyberbeveiliging bedrijf BullGuard, die een commercieel belang hebben bij het Internet van de Dingen beveiliging ruimte, vond een aantal bugs in iSmartAlarm s Cube hub-systeem, waarmee u de verschillende sensoren en camera ‘ s rond het huis.
“Een niet-geverifieerde aanvaller kan voortdurend compromis de iSmartAlarm door gebruik te maken van een aantal verschillende methoden die leiden tot het volledige verlies van functionaliteit, integriteit en betrouwbaarheid, afhankelijk van de acties van de aanvaller,” zei Ilia Shnaidman, hoofd van de veiligheidsdienst van het onderzoek op BullGuard, in een blog post. “Bijvoorbeeld, kan een aanvaller toegang krijgen tot het gehele iSmartAlarm klantenbestand, de gebruikers privé-gegevens van haar gebruikers home adres, alarm ontwapenend en ‘welkom op mijn home-teken’.”
Shnaidman gezegd door middel van een techniek die hem in staat stelde om het genereren van een nieuwe encryptie sleutel, kan een aanvaller het ondertekenen en verzenden van een set van drie commando ‘ s — ontwapenen, arm of paniek (wat klinkt het alarm).
Een aantal andere bugs in de software blijven in ongewijzigde, waaronder een fout die kan een aanvaller uit te schakelen, de eenheid door middel van een denial-of-service-aanval. De onderzoeker vond ook hard-coded klare referenties zijn opgeslagen in de software, waardoor een aanvaller volledige toegang tot het bedrijf van de support-website — die records bevat en persoonlijke informatie aan andere klanten.
Shnaidman zijn bevindingen gepubliceerd nadat het bedrijf had geen antwoord op zijn eigen openbaring.
De website van de onderneming toont aan dat er geen firmware later dan Maart 21, wat suggereert dat de bugs moeten nog worden vastgesteld.
iSmartAlarm niet terug van een verzoek om commentaar.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0