Серьёзный конструктивный просчёт в новых устройствах домашней безопасности Shelly Gen 4 может оставить миллионы домов в Европе уязвимыми для атак, заявляет Pen Test Partners.
Исследователи в области безопасности из консалтинговой компании по кибербезопасности заявляют, что обнаружили серьёзную уязвимость в продуктах «умного дома» Shelly, европейского поставщика домашних систем безопасности.
Сейчас устройства Shelly используются более чем в 5,2 млн домов по всей Европе. По данным Pen Test Partners, эта ошибка проектирования создаёт невидимый «чёрный ход» в частные дома, который большинство пользователей никогда не обнаружит.
Новые устройства Shelly четвёртого поколения (Gen 4) для умного дома сохраняют открытую беспроводную точку доступа, необходимую для первоначальной настройки, включённой постоянно, даже после корректного подключения к домашней сети Wi-Fi, утверждают в Pen Test Partners. В результате скрытая сеть продолжает работать в фоновом режиме без ведома и согласия пользователей ещё долго после завершения установки.
Для сравнения, в предыдущих моделях компании эта точка доступа автоматически отключалась после подключения устройства к домашней сети Wi-Fi.
Эта уязвимость позволяет любому человеку, находящемуся рядом с частным домом, воспользоваться домашней сетью Wi-Fi жильцов, чтобы открыть входную дверь, гараж или ворота, создавая реальный риск краж и незаконного проникновения.
Однако проблема оказалась куда серьёзнее. Более масштабное расследование, проведённое Pen Test Partners, показало, что речь идёт не просто об ошибке проектирования.
Текущая уязвимость устройств Gen 4 означает, что одно скомпрометированное устройство может послужить трамплином для получения доступа практически ко всем гаджетам «умного дома» — вне зависимости от того, относятся ли они к продукции Shelly или нет.
Поскольку во многих домах по всей Европе до сих пор используются смешанные сети из устройств разных поколений — как Shelly, так и других производителей, — это создаёт серьёзный пробел в защите как онлайн, так и офлайн.
Пока никаких мер не принято
В Pen Test Partners рассказали, что уведомили Shelly об этой бреши в безопасности, а в компании ответили, что серия обновлений прошивки версии 1.8.0 должна устранить уязвимость.
В результате пользователям приходится вручную отключать эти точки доступа, о чём большинство владельцев домов, вероятно, даже не догадываются.
«Они должны были бы провести масштабную информационную кампанию, чтобы объяснить, что точка доступа оставалась открытой, и рассказать, как её отключить. Они этого не сделали, потому что это, скорее всего, ударит по их репутации», — сказал Euronews Next основатель Pen Test Partners Кен Манро.
В Shelly в комментарии Euronews Next заявили, что у пользователей, которые следуют официальной процедуре настройки через мобильное приложение, точка доступа отключается автоматически.
Пользователи, которые выбирают ручную конфигурацию, получают предупреждения о необходимости защитить точку доступа. В одном из ближайших обновлений прошивки точки доступа будут автоматически отключаться по истечении заданного времени.
«Хотим подчеркнуть, что все сценарии настройки и цифровые инструменты в экосистеме Shelly, включая наше мобильное приложение и облачный веб-интерфейс, дают пользователям чёткие рекомендации по защите их устройств», — заявил представитель Shelly в комментарии Euronews Next.
«Любой выбор конфигурации за пределами этих рекомендованных сценариев, включая оставление точки доступа незащищённой, в конечном счёте является делом предпочтений пользователя и выходит за рамки прямого контроля со стороны платформы».
«Как и в случае с любыми подключёнными устройствами, пользователи вольны настраивать своё оборудование в соответствии со своими потребностями, и мы настоятельно призываем их следовать рекомендациям по безопасности, которые даются при настройке», — добавили в компании.
В Shelly также подчеркнули, что в одном из следующих обновлений прошивки появится доработка, которая позволит автоматически отключать точку доступа по истечении заданного времени, если она явно не используется для настройки или ввода устройства в эксплуатацию.
Растущее число уязвимостей в подключённых устройствах
За последние годы всё больше устройств «умного дома» и других подключённых гаджетов подвергаются критике из-за серьёзных уязвимостей. Среди них — дверные звонки Ring от Amazon и камеры видеонаблюдения Dahua.
«Наша специализация — подключённые устройства, и мы тестируем самые разные системы «умного дома», — отметил Манро.
«Мы видели похожие проблемы в солнечных инверторах и даже обнаружили аналогичную уязвимость в автомобиле более десяти лет назад».
Утечки данных, особенно данных об использовании устройств и поведении пользователей, — ещё одна ключевая проблема этих систем «умного дома».
«Иногда мы обнаруживаем, что данные об использовании и поведении людей утекли случайно. Производители умных устройств собирают статистику использования, чтобы улучшать свои продукты, и часто забывают, что индивидуальные данные могут быть весьма информативными», — сказал Манро.