Internet of things
Технологии умного дома не перестают «радовать» нас новыми уязвимостями.
Дверной звонок от Amazon – Ring Video Doorbell Pro позволяет владельцу общаться с пришедшим гостем из любой точки мира, если уж так вышло, что тот пришёл, когда никого нет дома.
Для этой цели умный звонок подключается к домашней сети Wi-Fi, доступ к которой легко может раззвенеть злоумышленникам.
Фишка заключается в том, что за связь звонка и хозяина квартиры, как обычно, отвечает приложение на смартфоне. При первоначальной настройке этой нехитрой связки звонок открывает приложению незащищённый доступ, через который он должен получить данные, включая пароль от домашней сети Wi-Fi. Вся информация в момент настройки передаётся в незащищённом виде и может быть перехвачена пресловутой атакой «человек по середине» (man-in-the-middle).
Думаю, ты разумно заметишь, что не надо настраивать такую важную систему, стоя поcреди улицы так, что любой желающий сможет поймать нужный момент и оказаться достаточно близко, чтобы атаковать твой дверной звонок.
Но есть один нюанс. После настройки и успешного ввода звонка в эксплуатацию, злоумышленник может выждать удобный ему момент и начать отсылать запросы на деаутентификацию. При таких условиях, как оказалось, звонок может прервать общение с приложением, и пользователю придётся дружить их по-новой. А уж тут злодей будет на чеку!
Сейчас эта уязвимость уже закрыта. Достаточно накатить обновления, и дверной звонок перестанет быть слабым звеном защиты твоей квартиры.
Но сколько ещё открытий чудных готовит internet of things…