9 марта исследователи из компании Claroty
опубликовали подробное исследование уязвимостей в умном дверном замке Akuvox E11. В отчете представлены 13 уязвимостей, которые сложно оценивать формальными методами, по шкале опасности. Проще сказать, что лучше такое IoT-устройство не использовать вовсе или хотя бы изолировать его от остальной корпоративной сети. Авторы отчета предложили несколько способов атаки на устройство — как из локальной сети, так и удаленно, с последствиями в виде раскрытия данных и выполнения произвольного кода.
Проанализировать устройство китайского производителя удалось благодаря чистой случайности: компания переехала в новый офис с Akuvox E11 в качестве интеркома. И первая задача, которую исследователи хотели решить, была совершенно безобидной: вместо того чтобы бегать каждый раз к кнопке открытия двери, они нашли способ отправлять эту команду по сети. Решив посмотреть, какие еще документированные и не очень функции есть у устройства, энтузиасты заказали отдельный девайс для тестов. Но первую уязвимость они нашли, еще не дождавшись доставки.
Читать дальше →
