0
(Bild: CNET/CBS Interactive)
Det visar sig att ett så kallat smart home security system är inte så smart-eller inte ens det är säkert.
En tillverkare av en home security system som byggts av iSmartAlarm, som räkningar sig som ledare i gör-det-själv -, internet-ansluten smart säkerhet i hemmet, har misslyckats med att lappa flera säkerhetsbrister efter att de var i privat lämnas ut till bolaget månader sedan.
De värsta buggarna är en autentisering kringgå buggen, som kunde tillåta en angripare, bland annat för att fjärrstyra systemet larm.
På ena sidan som är en olägenhet, i bästa fall, eller ett hem utsätts för inbrott.
Forskare på it-företaget BullGuard, som har ett kommersiellt intresse i sakernas Internet security space, hittade flera fel i iSmartAlarm Kub hub system som styr de olika sensorer och kameror runt huset.
“En oautentiserad angripare kan ihärdigt äventyra iSmartAlarm genom att använda ett antal olika metoder som leder till fullständig förlust av funktionalitet, integritet och tillförlitlighet, beroende på de åtgärder som vidtagits av angriparen,” sa Ilia Shnaidman, chef för säkerhetsforskning på BullGuard, i ett blogginlägg. “Till exempel, att en angripare kan få tillgång till hela iSmartAlarm kundbas, dess användares privata data, dess användare hem adress, larm avväpnande och “välkommen till mitt hem tecken’.”
Shnaidman sade genom en teknik som tillät honom att generera en ny krypteringsnyckel, en angripare kan underteckna och skicka en uppsättning av tre kommandon — avväpna, arm, eller panik (som låter alarmet).
Flera andra buggar i programvaran förblir okorrigerad, inklusive ett fel som gör att en angripare att inaktivera enheten via en denial-of-service-attack. Forskaren fann också hårdkodade klartext autentiseringsuppgifter lagras i programvaran, vilket gör att en angripare fullständig åtkomst till företagets webbplats för support-som innehåller register och personuppgifter på andra kunder.
Shnaidman publicerade sina resultat efter det att företaget inte svara på hans eget avslöjande.
Företagets hemsida visar att det finns någon firmware senare än 21 Mars, vilket tyder på att det buggar har ännu inte fastställas.
iSmartAlarm inte returnera en begäran om en kommentar.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UTREDNINGAR
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
Med en enda avlyssna ordning, AMERIKANSKA myndigheterna lyssnade på 3,3 miljoner telefonsamtal
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
0