0
(Bild: CNET/CBS Interactive)
Es stellt sich heraus, dass ein so genannter smart-home-security-system ist nicht so schlau-oder sogar sicher.
Ein Hersteller von einem home-security-system, gebaut von iSmartAlarm, die bezeichnet sich selbst als Marktführer in der do-it-yourself mit dem internet verbundenen smart-home-Sicherheit, hat es versäumt, patch mehrere Sicherheitslücken, nachdem Sie wurden privat an die Gesellschaft weitergegeben Monaten.
Die schlimmsten bugs eine Authentifizierung umgehen, Fehler, die es einem Angreifer ermöglichen könnte, unter anderem, um aus der Ferne die Kontrolle des Systems Alarme.
Auf der einen Seite ist ein ärgernis am besten, oder ein Haus ausgesetzt Einbrecher.
Forscher an der cybersecurity-Firma BullGuard, die ein kommerzielles Interesse an dem Internet der Dinge security space, fand einige bugs in iSmartAlarm s Cube hub-system, das steuert die verschiedenen sensoren und Kameras rund um das Haus.
“Ein nicht authentifizierter Angreifer kann anhaltend Kompromiss der iSmartAlarm durch den Einsatz einer Reihe von verschiedenen Methoden, die zu vollständiger Verlust der Funktionalität, Integrität und Zuverlässigkeit, abhängig von den Aktionen der Angreifer”, sagte Ilia Shnaidman, head of security research bei BullGuard, in einem blog-post. “Zum Beispiel, kann ein Angreifer Zugriff auf den gesamten iSmartAlarm Kundenstamm, seinen Nutzern die privaten Daten seiner Benutzer’ home-Adresse, den alarm zu Entwaffnen und ‘willkommen in meinem Haus unterzeichnen’.”
Shnaidman sagte, durch eine Technik, die ihm erlaubt, generieren eines neuen Verschlüsselungsschlüssels, ein Angreifer kann sich anmelden und senden Sie eine Gruppe von drei Befehle — Entwaffnen, arm, oder Panik (das klingt den alarm).
Mehrere andere Fehler in der software bleiben ungepatchte, darunter ein Fehler, der es einem Angreifer erlaubt, deaktivieren Sie das Gerät durch eine denial-of-service-Angriff. Die Forscher fanden auch hart codierte Klartext-Anmeldeinformationen in der software gespeichert, sodass ein Angreifer vollen Zugriff auf die Unternehmens-support-website — enthält Aufzeichnungen und persönliche Informationen über andere Kunden.
Shnaidman veröffentlicht seine Erkenntnisse, nachdem das Unternehmen antwortete nicht auf seine private Veröffentlichung.
Die Webseite des Unternehmens zeigt, dass es keine firmware, die später als März 21, was die bugs müssen noch behoben werden.
iSmartAlarm nicht zurück eine Anforderung für eine Stellungnahme.
Kontaktieren Sie mich sicher
Zack Whittaker erreicht werden kann sicher auf das Signal und WhatsApp auf 646-755-8849, und seine PGP-fingerprint für E-Mail ist: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UNTERSUCHUNGEN
Durchgesickert TSA-Dokumente enthüllen Flughafen in New York die Welle der Sicherheitslücken
US-Regierung geschoben tech-Unternehmen zu übergeben source code
An der US-Grenze: Diskriminiert, inhaftiert, durchsucht und verhört
Millionen von Verizon-Kunden-Datensätze ausgesetzt Sicherheitslücken
Treffen die düsteren tech-Broker liefern Sie Ihre Daten an die NSA
In der globalen terror-watchlist, die heimlich Millionen Schatten
FCC-Vorsitzenden gewählt zu verkaufen, Ihren browsing-Verlauf — so fragten wir, um zu sehen, seine
Mit einem einzigen wiretap Auftrag, den US-Behörden abgehört 3,3 Millionen Anrufe
198 Millionen Amerikaner Treffer von ‘größte’ Wähler-Leck records
Großbritannien bestanden hat der ‘most extreme überwachung Gesetz jemals verabschiedet in einer Demokratie”
Microsoft sagt “keine bekannten ransomware’ läuft auf Windows-10 S — so haben wir versucht, es zu hacken
Durchgesickerten Dokument zeigt, Großbritannien Pläne für eine breitere internet-überwachung
0