Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Сенаторы исключили символы Z и V из запрета на латиницу в рекламе Политика, 04:04
Аналитики описали тактику России и ОПЕК на фоне нефтяного эмбарго ЕС Экономика, 03:48
МИД заявил о важности ОБСЕ после критики ее эффективности Кремлем Политика, 03:01
Новый центр для изоляции и протесты: как в Китае снова борются с COVID Политика, 03:00
Глава Минкульта Украины опроверг передачу Киево-Печерской лавры ПЦУ Политика, 02:34
Боррель сообщил об обучающихся в Польше 1100 украинских военных Политика, 02:22
Глава Минобороны Украины сообщил о получении первых ПВО Hawk от Испании Политика, 02:03
Объясняем, что значат новости
Вечерняя рассылка РБК
Подписаться
G7 и Австралия вслед за ЕС согласовали потолок цен на российскую нефть Политика, 01:40
Замгоссекретаря США допустила войну Китая и Тайваня при СИ Цзиньпине Политика, 01:31
Орбан выступил против совместной помощи Киеву из-за риска долгов Экономика, 01:08
Определились все участники плей-офф чемпионата мира 2022 года в Катаре Спорт, 01:04
В Госдепе заявили о «стабильных и мрачных» перспективах экономики России Экономика, 00:54
В Забайкалье после обрушения породы на золотом руднике погиб рабочий Общество, 00:53
В Госдепе заявили о давней преданности Сноудена России Политика, 00:24
Новогодний Миллиард
Гарантированный
розыгрыш 1 000 000 000 рублей

Реклама, АО "ТК "Центр", АО «ТК «Центр», ОГРН 1127746385095. 18+

*Утверждение «Русское лото» — главная лотерея страны» основано на исследовании (публикация на ifors.ru от 20 мая 2022 года).

Технологии и медиа ,  
0 

В системе управления придомовыми шлагбаумами нашли уязвимость

Из-за нее хакеры могли получить доступ к данным трети подобных устройств в столице
Компания Postuf сообщила об уязвимости в системе управления шлагбаумами «АМ Видео»
В одной из популярных систем управления шлагбаумами была найдена уязвимость. Риск от такой ошибки — утечка данных пользователей и переход контроля над устройствами к хакерам. Оператор систем въезда ошибку уже устранил
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В системе управления преимущественно придомовыми шлагбаумами частной компании «АМ Видео» была обнаружена опасная уязвимость. Об этом РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.

Основная часть — около 85% — шлагбаумов, управляемых системой, сконцентрированы в Москве, еще 10% расположены в Московской области, остальные — в других регионах. Речь идет о трети всех установленных шлагбаумов в Москве, более 1500 штук, отметил Гендаргеноевский.

«Уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими, — рассказал сооснователь Postuf. — Получение данных через уязвимость производится методом брутфорса (в данном случае — подбор ID камер, шлагбаумов путем поочередного перебора возможных комбинаций. — РБК)».

По мнению Гендаргеноевского, уязвимость могла возникнуть в связи с тем, что компания стремилась делать разработку своими силами, вместо того чтобы передать процесс на аутсорсинг. «Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — рассуждает он.

Гендаргеноевский пояснил, что Postuf проводит аналитику для сбора данных из открытых источников и изредка сталкивается с системами со слабой безопасностью. Так как специалисты компании считают себя «белыми хакерами», их цель заключается в том, чтобы предупреждать о возможной опасности.

После того как РБК обратился за комментарием к «АМ Видео», компания оперативно устранила уязвимость (в Postuf подтвердили устранение ошибки). «Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая ее обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал РБК учредитель «АМ Видео» Антон Уткин.

Причины появления уязвимости и последствия

Само по себе обнаружение уязвимости не является примечательным фактом, считает руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева. По оценке компании, примерно каждое второе веб-приложение содержит уязвимости высокого уровня риска. Если доступ к системе получит злоумышленник, он, во-первых, может украсть персональные данные пользователей, а во-вторых, вмешаться в управление шлагбаумами: нарушить работу аппаратуры, устроить транспортный коллапс и т.п., отметила Килюшева.

Вероятнее всего, речь идет об уязвимости недостаточной проверки прав доступа на стороне сервера, обслуживающего приложение, считает заместитель руководителя департамента аудита Group-IB Павел Супрунюк. По его словам, это довольно распространенная уязвимость и связана она с ошибками в дизайне приложения. «За счет подобных уязвимостей очень часто формируются «слитые» базы данных. Иными словами, если злоумышленник узнал внутренние идентификаторы объектов в системе (то есть шлагбаумов и т.д.) и знал, как приложение делает запросы на примере тестового кабинета, то он мог совершать неавторизованные действия по открытию шлагбаумов и чтению персональных данных. Риски здесь, как и при любом «взломе», — утечка данных, неразбериха с правами доступа», — рассказал Супрунюк.

По признакам это, скорее всего, уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объект) в веб-приложении системы управления шлагбаумами, возникающая при ошибках разграничения прав между пользователями, говорит гендиректор Infosecurity a Softline Company Николай Агринский. «Злоумышленник, авторизовавшись под демонстрационным аккаунтом, перебирая ID-параметр, попадает в личные кабинеты других пользователей. Данный тип уязвимостей довольно распространенный, обнаруживался ранее на сайтах российских логистических компаний, медицинских организаций, интернет-магазинов. Разработчикам необходимо доработать бизнес-логику приложения в части авторизации», — отметил Агринский.

Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Кроме того, через эту уязвимость возможно дальнейшее проникновение в инфраструктуру оператора шлагбаумов.

При этом злоумышленники могут попытаться получить прибыль от возможности контролировать работу оборудования и информацию, которую это оборудование обрабатывает, предупреждает эксперт лаборатории практического анализа защищенности центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая. «Основная опасность — возможность для злоумышленника собирать персональные данные жильцов домов. Уязвимость в системе позволяет извлекать информацию о номере телефона, имени, марке машины и адресе жителя, что может быть использовано для мошеннических действий. Например, для шантажа, когда злоумышленник может угрожать в СМС-сообщениях проколоть шины дорогой или часто используемой машины», — отметила Екатерина Рудая. Кроме того, по ее словам, функционал управления шлагбаумом может быть продан посторонним людям, которым временно удобно использовать внутренний двор дома. Наконец, хакеры могут «развлекаться», рассылая push-уведомления или блокируя шлагбаумы выезда.

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Новогодний Миллиард
Гарантированный
розыгрыш 1 000 000 000 рублей

Реклама, АО "ТК "Центр", АО «ТК «Центр», ОГРН 1127746385095. 18+

*Утверждение «Русское лото» — главная лотерея страны» основано на исследовании (публикация на ifors.ru от 20 мая 2022 года).