Электронные замки квартир и гаражей в США попали во власть хакеров и лишились смысла. Разработчик на проблему не реагирует

Бессмысленная защита

Многочисленные уязвимости, выявленные в охранных smart-устройствах техасской фирмы Nexx, делают их фактически бесполезными и даже представляющими некоторую угрозу своим пользователям. Эксперты по безопасности опубликовали сведения о пяти уязвимостях в диапазоне от средней до критической после того, как разработчик не отреагировал на попытки проинформировать его частным порядком.

Устройства Nexx, такие как Smart Alarm, Smart Garage, Smart Plug позволяют дистанционно открывать, закрывать и блокировать двери гаражей, включать и выключать домашнюю сигнализацию и управлять электрическими розетками в доме. Устройства управляются через специальное мобильное приложение, которое выпускает та же компания Nexx.

Наиболее существенной из выявленных уязвимостей оказалось наличие универсальных (то есть, встроенных в код программной оболочки) реквизитов доступа. Мало того, их легко получить, перехватывая обмен данными между клиентом и API Nexx.

Фото: freepik.com Системы безопасности Nexx оказались бесполезны из-за уязвимостей

С помощью этой же уязвимости можно осуществлять перехват почтовых адресов пользователей устройств Nexx и даже их имена, а также идентификаторов конечных устройств. Это не говоря уже о том, что с помощью уязвимости можно удаленно открывать запертые двери гаражей и отключать сигнализации.

На данный момент известно как минимум о 40 тыс. устройствах Nexx, привязанных к 20 тыс. пользовательских аккаунтов.

Вендор молчит

Эксперт по кибербезопасности Сэм Сэбетан (Sam Sabetan) опубликовал подробную информацию о возможности использования этих уязвимостей 4 апреля 2023 г. В своей публикации он указал, что работал в сотрудничестве с Агентством по кибербезопасности и защите инфраструктуры США (CISA).

CISA со своей стороны опубликовало бюллетень с предупреждением и присвоило выявленным уязвимостям CVE-индексы: CVE-2023–1748 (9,3 балла, встроенные реквизиты административного доступа), CVE-2023–1749 (6,5 балла, обход авторизации с помощью управляющего ключа), CVE-2023–1750 (7,1 балла, обход авторизации с помощью управляющего ключа), CVE-2023–1751 (7,5 балла, некорректная валидация вводимых значений), CVE-2023–1752 (8,1 балла по шкале CVSS, некорректная валидация авторизационных данных).

Самая опасная проблема — CVE-2023–1748 — связана с тем, что облачная система Nexx Cloud присваивает универсальный пароль всем новым устройства, зарегистрированным через мобильное приложение Nexx Home (Android, iOS).

Регионы и госкомпании израсходовали на цифровизацию транспорта почти ₽100 млрд за 5 лет Цифровизация

Этот пароль присутствует в обмене данными с API и в программной оболочке устройств, так что хакеры с легкостью могут его перехватить и отправлять конечным устройствам команды через сервере MQTT, используемый для связи с устройствами Nexx.

Несмотря на неоднократные попытки связаться с Nexx как со стороны Сэбетана, так и сотрудников CISA, в компании предпочли не реагировать вовсе. На запросы журналистов в компании тоже не отвечают. Никаких обновлений вендор тоже пока не выпускал.

С сайта Nexx исчезли продуктовые страницы, посвященные проблемным устройствам: попытки перехода с главной страницы на другие разделы выводят на страницы-заглушки.

На данном этапе защититься от уязвимостей возможно только через отключение устройств Nexx от доступа извне и помещения их в изолированную сеть за файерволлом. Если к ним необходим удаленный доступ, то подключаться следует только через VPN-соединение.

Как выглядит импортозамещение для бесперебойного энергоснабжения Техника

«Действия, а точнее, бездействие вендора — это очень красноречивый пример безответственного отношения к своим разработкам и безопасности, — говорит Михаил Зайцев, технический директор компании SEQ. — Наличие встроенных универсальных реквизитов — это довольно распространенная ошибка, свидетельствующая о низкой квалификации программистов. Похоже, что в Nexx отмалчиваются потому, что не знают, как исправить проблему. Публикация сведений об уязвимостях и бюллетень CISA теперь необратимо подорвут репутацию Nexx».