Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

В системе управления придомовыми шлагбаумами нашли уязвимость

Из-за нее хакеры могли получить доступ к данным трети подобных устройств в столице
Компания Postuf сообщила об уязвимости в системе управления шлагбаумами «АМ Видео»
В одной из популярных систем управления шлагбаумами была найдена уязвимость. Риск от такой ошибки — утечка данных пользователей и переход контроля над устройствами к хакерам. Оператор систем въезда ошибку уже устранил
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В системе управления преимущественно придомовыми шлагбаумами частной компании «АМ Видео» была обнаружена опасная уязвимость. Об этом РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.

Основная часть — около 85% — шлагбаумов, управляемых системой, сконцентрированы в Москве, еще 10% расположены в Московской области, остальные — в других регионах. Речь идет о трети всех установленных шлагбаумов в Москве, более 1500 штук, отметил Гендаргеноевский.

«Уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими, — рассказал сооснователь Postuf. — Получение данных через уязвимость производится методом брутфорса (в данном случае — подбор ID камер, шлагбаумов путем поочередного перебора возможных комбинаций. — РБК)».

По мнению Гендаргеноевского, уязвимость могла возникнуть в связи с тем, что компания стремилась делать разработку своими силами, вместо того чтобы передать процесс на аутсорсинг. «Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — рассуждает он.

Хакеры атаковали тысячи компаний из России с помощью Log4Shell
Технологии и медиа
Фото:Александр Авилов / АГН «Москва»

Гендаргеноевский пояснил, что Postuf проводит аналитику для сбора данных из открытых источников и изредка сталкивается с системами со слабой безопасностью. Так как специалисты компании считают себя «белыми хакерами», их цель заключается в том, чтобы предупреждать о возможной опасности.

После того как РБК обратился за комментарием к «АМ Видео», компания оперативно устранила уязвимость (в Postuf подтвердили устранение ошибки). «Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая ее обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал РБК учредитель «АМ Видео» Антон Уткин.

Причины появления уязвимости и последствия

Само по себе обнаружение уязвимости не является примечательным фактом, считает руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева. По оценке компании, примерно каждое второе веб-приложение содержит уязвимости высокого уровня риска. Если доступ к системе получит злоумышленник, он, во-первых, может украсть персональные данные пользователей, а во-вторых, вмешаться в управление шлагбаумами: нарушить работу аппаратуры, устроить транспортный коллапс и т.п., отметила Килюшева.

Хакеры впервые за три года украли деньги банка с его корсчета в ЦБ
Финансы
Фото:Павел Головкин / AP

Вероятнее всего, речь идет об уязвимости недостаточной проверки прав доступа на стороне сервера, обслуживающего приложение, считает заместитель руководителя департамента аудита Group-IB Павел Супрунюк. По его словам, это довольно распространенная уязвимость и связана она с ошибками в дизайне приложения. «За счет подобных уязвимостей очень часто формируются «слитые» базы данных. Иными словами, если злоумышленник узнал внутренние идентификаторы объектов в системе (то есть шлагбаумов и т.д.) и знал, как приложение делает запросы на примере тестового кабинета, то он мог совершать неавторизованные действия по открытию шлагбаумов и чтению персональных данных. Риски здесь, как и при любом «взломе», — утечка данных, неразбериха с правами доступа», — рассказал Супрунюк.

По признакам это, скорее всего, уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объект) в веб-приложении системы управления шлагбаумами, возникающая при ошибках разграничения прав между пользователями, говорит гендиректор Infosecurity a Softline Company Николай Агринский. «Злоумышленник, авторизовавшись под демонстрационным аккаунтом, перебирая ID-параметр, попадает в личные кабинеты других пользователей. Данный тип уязвимостей довольно распространенный, обнаруживался ранее на сайтах российских логистических компаний, медицинских организаций, интернет-магазинов. Разработчикам необходимо доработать бизнес-логику приложения в части авторизации», — отметил Агринский.

Group-IB предупредила об атакующей ретейл группе хакеров
Технологии и медиа
Фото:SeongJoon Cho / Bloomberg

Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Кроме того, через эту уязвимость возможно дальнейшее проникновение в инфраструктуру оператора шлагбаумов.

При этом злоумышленники могут попытаться получить прибыль от возможности контролировать работу оборудования и информацию, которую это оборудование обрабатывает, предупреждает эксперт лаборатории практического анализа защищенности центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая. «Основная опасность — возможность для злоумышленника собирать персональные данные жильцов домов. Уязвимость в системе позволяет извлекать информацию о номере телефона, имени, марке машины и адресе жителя, что может быть использовано для мошеннических действий. Например, для шантажа, когда злоумышленник может угрожать в СМС-сообщениях проколоть шины дорогой или часто используемой машины», — отметила Екатерина Рудая. Кроме того, по ее словам, функционал управления шлагбаумом может быть продан посторонним людям, которым временно удобно использовать внутренний двор дома. Наконец, хакеры могут «развлекаться», рассылая push-уведомления или блокируя шлагбаумы выезда.

СберПро Медиа Интересное

Меры государственной поддержки бизнеса: подборка за I квартал 2024 года

СберПро Медиа Финансы

Как новое поколение недропользователей меняет золотодобычу: кейс «Золото Дельмачик»

СберПро Медиа Интересное

Кто такой CSM? И зачем бизнесу менеджер по успеху

СберПро Медиа Туризм

Отдохнуть и полечиться. Какие туристические проекты запускались
в 2023 году в России

СберПро Медиа Интересное

На диджитал-рельсы: как правильно организовать цифровизацию в компании

СберПро Медиа Недвижимость

Барометр отрасли: рынок строительного подряда

СберПро Медиа ТМТ

В каждом смартфоне. 9 трендов в разработке мобильных приложений

СберПро Медиа Лесопромышленный комплекс

Барометр отрасли: лесопромышленный комплекс

СберПро Медиа Интересное

Как российские компании переходят на отечественные АБС-пластики

СберПро Медиа Интересное

Нейросетевой мозг
для кобота. Ключевые тренды российской робототехники

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

  

Лента новостей
Курс евро на 20 апреля
EUR ЦБ: 99,58 (-0,95)
Инвестиции, 19 апр, 16:51
Курс доллара на 20 апреля
USD ЦБ: 93,44 (-0,65)
Инвестиции, 19 апр, 16:51
Аэропорт Владикавказа открыли после удара молнии по взлетной полосе Общество, 19 апр, 23:56
МВД Эстонии призвало православные приходы выйти из подчинения Москвы Общество, 19 апр, 23:52
В Брянской области при падении дрона загорелся энергообъект Политика, 19 апр, 23:46
В Курской области сработала система ПВО Политика, 19 апр, 23:40
В Липецкой области объявили об угрозе атаки дронов Политика, 19 апр, 23:21
В Сумах прогремели взрывы Политика, 19 апр, 23:12
Над Белгородской областью сбили три дрона Политика, 19 апр, 22:58
Г. Нахапетян: создание устойчивого бизнеса
Смотрите этот и еще 40+ курсов в опции Уроки Легенд
Подробнее
Посольство России заявило об эрозии послевоенного примирения в Германии Политика, 19 апр, 22:55
Представитель Успенской опроверг информацию о плохом самочувствии Общество, 19 апр, 22:48
Корреспондент «Известий» погиб в зоне военной операции Политика, 19 апр, 22:39
МВД предложило дать следователям право приостанавливать денежные переводы Общество, 19 апр, 22:19
Мирра Андреева проиграла украинке в 1/4 финала турнира WTA во Франции Спорт, 19 апр, 22:15
Мужчина поджег себя у здания суда, где шел процесс над Трампом Политика, 19 апр, 22:15
Орбан заявил об «одном шаге» до отправки на Украину войск Запада Политика, 19 апр, 22:07