Лента новостей
Пентагон заявил о готовности перебросить в Европу 8,5 тыс. военных 22:59, Политика Какие компании в малом бизнесе заработали больше всего. Инфографика 22:45, Бизнес Зеленский записал видеообращение и попросил украинцев не паниковать 22:42, Политика Тренер «Интера» Индзаги заболел коронавирусом. Как COVID влияет на спорт 22:35, Спорт Антонов назвал данные об эвакуации дипломатов из США «несусветной ложью» 22:19, Политика Главный тренер чемпионов Италии по футболу заболел COVID-19 22:10, Спорт Зеленский заявил, что Киев работает над деэскалацией ситуации в Донбассе 22:06, Политика В Буркина-Фасо военные распустили правительство и закрыли границы 21:58, Политика Обострение ситуации вокруг Украины. Главное 21:56, Политика Помощник президента встретится с клубами РПЛ из-за введения Fan ID 21:51, Спорт «Уотфорд» уволил Раньери через три месяца после назначения тренером 21:48, Спорт Британия отменила карантин для непривитых при въезде в страну 21:46, Общество Куда может завести обострение конфликта вокруг Украины 21:40, Политика Трамп заявил, что при нем обострения ситуации вокруг Украины не было бы 21:38, Политика Новый обвал рубля и рынка акций. Продолжится ли падение 21:27, Инвестиции Вирусологи посоветовали не воспринимать «омикрон» как живую вакцину 21:20, Общество Игрок клуба КХЛ понесет флаг Латвии на церемонии открытия Олимпиады-2022 21:10, Спорт Министр обороны призвал украинцев решить, как они готовы защищать страну 21:06, Политика Студенты назвали самых привлекательных работодателей 21:00, Общество В Киеве призвали СМИ снизить накал «беллетристики» о нападении на Украину 20:50, Политика ФХР объявила состав женской сборной России на Олимпиаду в Пекине 20:30, Спорт Генсек НАТО заявил, что переброска сил альянса не угрожает России 20:29, Политика Правозащитники опубликовали видео задержания жены экс-судьи ВС Чечни 20:26, Общество Что будет с рублем после обвала. Спецэфир РБК 20:25, Финансы Смолов связал ухудшение результативности в «Локомотиве» со сменой тренера 20:07, Спорт Суд в России впервые полностью приостановил работу из-за коронавируса 20:06, Общество Генсек НАТО пригрозил послать в Восточную Европу новые «боевые группы» 19:59, Политика Япония и Франция рекомендовали гражданам не ездить на Украину 19:49, Политика
Газета
Придомовые парковки приоткрылись для хакеров
Газета № 203 (3492) (2912) Технологии и медиа,
0

Придомовые парковки приоткрылись для хакеров

В распространенной системе управления шлагбаумами обнаружена уязвимость
В одной из популярных систем управления шлагбаумами была найдена уязвимость. Риск от такой ошибки — утечка данных пользователей и переход контроля над устройствами к хакерам. Оператор систем въезда ошибку уже устранил
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В системе управления преимущественно придомовыми шлагбаумами частной компании «АМ Видео» была обнаружена опасная уязвимость. Об этом РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.

Основная часть — около 85% — шлагбаумов, управляемых системой, сконцентрированы в Москве, еще 10% расположены в Московской области, остальные — в других регионах. Речь идет о трети всех установленных шлагбаумов в Москве, более 1500 штук, отметил Гендаргеноевский.

«Уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими, — рассказал сооснователь Postuf. — Получение данных через уязвимость производится методом брутфорса (в данном случае — подбор ID камер, шлагбаумов путем поочередного перебора возможных комбинаций. — РБК)».

По мнению Гендаргеноевского, уязвимость могла возникнуть в связи с тем, что компания стремилась делать разработку своими силами, вместо того чтобы передать процесс на аутсорсинг. «Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — рассуждает он.

Технологии и медиа
Хакеры атаковали тысячи компаний из России с помощью Log4Shell Фото: Александр Авилов / АГН «Москва»

Гендаргеноевский пояснил, что Postuf проводит аналитику для сбора данных из открытых источников и изредка сталкивается с системами со слабой безопасностью. Так как специалисты компании считают себя «белыми хакерами», их цель заключается в том, чтобы предупреждать о возможной опасности.

После того как РБК обратился за комментарием к «АМ Видео», компания оперативно устранила уязвимость (в Postuf подтвердили устранение ошибки). «Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая ее обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал РБК учредитель «АМ Видео» Антон Уткин.

Причины появления уязвимости и последствия

Само по себе обнаружение уязвимости не является примечательным фактом, считает руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева. По оценке компании, примерно каждое второе веб-приложение содержит уязвимости высокого уровня риска. Если доступ к системе получит злоумышленник, он, во-первых, может украсть персональные данные пользователей, а во-вторых, вмешаться в управление шлагбаумами: нарушить работу аппаратуры, устроить транспортный коллапс и т.п., отметила Килюшева.

Финансы
Хакеры впервые за три года украли деньги банка с его корсчета в ЦБ Фото: Павел Головкин / AP

Вероятнее всего, речь идет об уязвимости недостаточной проверки прав доступа на стороне сервера, обслуживающего приложение, считает заместитель руководителя департамента аудита Group-IB Павел Супрунюк. По его словам, это довольно распространенная уязвимость и связана она с ошибками в дизайне приложения. «За счет подобных уязвимостей очень часто формируются «слитые» базы данных. Иными словами, если злоумышленник узнал внутренние идентификаторы объектов в системе (то есть шлагбаумов и т.д.) и знал, как приложение делает запросы на примере тестового кабинета, то он мог совершать неавторизованные действия по открытию шлагбаумов и чтению персональных данных. Риски здесь, как и при любом «взломе», — утечка данных, неразбериха с правами доступа», — рассказал Супрунюк.

По признакам это, скорее всего, уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объект) в веб-приложении системы управления шлагбаумами, возникающая при ошибках разграничения прав между пользователями, говорит гендиректор Infosecurity a Softline Company Николай Агринский. «Злоумышленник, авторизовавшись под демонстрационным аккаунтом, перебирая ID-параметр, попадает в личные кабинеты других пользователей. Данный тип уязвимостей довольно распространенный, обнаруживался ранее на сайтах российских логистических компаний, медицинских организаций, интернет-магазинов. Разработчикам необходимо доработать бизнес-логику приложения в части авторизации», — отметил Агринский.

Технологии и медиа
Group-IB предупредила об атакующей ретейл группе хакеров Фото: SeongJoon Cho / Bloomberg

Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Кроме того, через эту уязвимость возможно дальнейшее проникновение в инфраструктуру оператора шлагбаумов.

При этом злоумышленники могут попытаться получить прибыль от возможности контролировать работу оборудования и информацию, которую это оборудование обрабатывает, предупреждает эксперт лаборатории практического анализа защищенности центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая. «Основная опасность — возможность для злоумышленника собирать персональные данные жильцов домов. Уязвимость в системе позволяет извлекать информацию о номере телефона, имени, марке машины и адресе жителя, что может быть использовано для мошеннических действий. Например, для шантажа, когда злоумышленник может угрожать в СМС-сообщениях проколоть шины дорогой или часто используемой машины», — отметила Екатерина Рудая. Кроме того, по ее словам, функционал управления шлагбаумом может быть продан посторонним людям, которым временно удобно использовать внутренний двор дома. Наконец, хакеры могут «развлекаться», рассылая push-уведомления или блокируя шлагбаумы выезда.