Подключенные устройства для гаражных ворот — это удобный и быстрый способ добавить «умных» функций важному элементу вашего дома, но, как и в случае с любым другим умным домашним оборудованием, хакеры могут испортить все удовольствие. На этой неделе была обнаружена уязвимость в устройствах Nexx для умных гаражных ворот, позволяющая хакерам удаленно управлять вашими гаражными воротами.
Уязвимость в устройствах Nexx для гаражных ворот, сигнализациях и умных розетках, обнаруженная независимым исследователем безопасности Сэмом Сабетаном, оставляет двери открытыми для злоумышленников. Это позволяет им подключаться к продуктам и включать или выключать их, что в случае с контроллером гаражных ворот приводит к открытию или закрытию двери.
Уязвимость позволяет полностью удаленно управлять этими продуктами из любой точки мира, как рассказал Сабетан изданию Motherboard.
Последствия такой уязвимости должны быть совершенно очевидны: третьи лица смогут контролировать, а при близости, потенциально, получать доступ к вашему гаражу. В случае с сигнализациями это также может подвергнуть дома повышенному риску. Для контроллеров гаражных ворот устройства могут быть идентифицированы по адресу электронной почты, deviceId или имени и первой букве фамилии.
Сабетан продемонстрировал это в видеоролике с доказательством концепции, где ему удалось управлять своим устройством, а также более чем 500 другими.
В своем блоге Сабетан подтвердил сроки обнаружения уязвимости, уведомив Nexx в январе этого года. Компания неоднократно контактировала по поводу уязвимости, в том числе CISA и Vice, но так и не отреагировала ни на один из попыток связаться, что привело к сегодняшнему публичному раскрытию. Похоже, Nexx игнорирует все сообщения от клиентов относительно этих уязвимостей, поскольку, когда Сабетан обратился просто по поводу своего продукта для общей поддержки, компания ответила.
Обновление от 7 апреля: В письме, отправленном клиентам, Nexx сообщает о выпуске обновления программного обеспечения для затронутых устройств с целью «улучшения безопасности и производительности». Компания не затрагивает напрямую уязвимость, лишь заявляя, что отключит подключение устройства к интернету до выхода обновления (что кажется огромным упрощением реального положения дел). В письме говорится, в частности:
Мы внедряем обновление системы для следующих продуктовых устройств с целью улучшения их безопасности и производительности: Nexx Garage (все модели), Nexx Gate (все модели) и Nexx Plug. Это будет происходить поэтапно, начиная с сегодняшнего дня, последний этап ожидается к понедельнику, 10.04.2023, если не раньше. Ваше устройство должно снова подключиться к сети после того, как на него будет установлено обновление.
В Nexx безопасность является главным приоритетом, и когда нам становится известно о потенциальной уязвимости безопасности вашего устройства, даже если она еще не проявилась, мы относимся к этому серьезно. Нам пришлось отключить интернет-соединение устройства для устранения этой проблемы, и мы искренне приносим извинения за неудобства.
9to5Google обзор одного из устройств Nexx для гаражных ворот в 2021 году как части нашей серии Google Home Essentials. Учитывая серьезность задействованной уязвимости и отсутствие коммуникации со стороны Nexx, мы отзовем эту рекомендацию и соответствующим образом обновим нашу первоначальную публикацию.