Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

В системе управления придомовыми шлагбаумами нашли уязвимость

Из-за нее хакеры могли получить доступ к данным трети подобных устройств в столице
Компания Postuf сообщила об уязвимости в системе управления шлагбаумами «АМ Видео»
В одной из популярных систем управления шлагбаумами была найдена уязвимость. Риск от такой ошибки — утечка данных пользователей и переход контроля над устройствами к хакерам. Оператор систем въезда ошибку уже устранил
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В системе управления преимущественно придомовыми шлагбаумами частной компании «АМ Видео» была обнаружена опасная уязвимость. Об этом РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.

Основная часть — около 85% — шлагбаумов, управляемых системой, сконцентрированы в Москве, еще 10% расположены в Московской области, остальные — в других регионах. Речь идет о трети всех установленных шлагбаумов в Москве, более 1500 штук, отметил Гендаргеноевский.

«Уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими, — рассказал сооснователь Postuf. — Получение данных через уязвимость производится методом брутфорса (в данном случае — подбор ID камер, шлагбаумов путем поочередного перебора возможных комбинаций. — РБК)».

По мнению Гендаргеноевского, уязвимость могла возникнуть в связи с тем, что компания стремилась делать разработку своими силами, вместо того чтобы передать процесс на аутсорсинг. «Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — рассуждает он.

Хакеры атаковали тысячи компаний из России с помощью Log4Shell
Технологии и медиа
Фото:Александр Авилов / АГН «Москва»

Гендаргеноевский пояснил, что Postuf проводит аналитику для сбора данных из открытых источников и изредка сталкивается с системами со слабой безопасностью. Так как специалисты компании считают себя «белыми хакерами», их цель заключается в том, чтобы предупреждать о возможной опасности.

После того как РБК обратился за комментарием к «АМ Видео», компания оперативно устранила уязвимость (в Postuf подтвердили устранение ошибки). «Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая ее обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал РБК учредитель «АМ Видео» Антон Уткин.

Причины появления уязвимости и последствия

Само по себе обнаружение уязвимости не является примечательным фактом, считает руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева. По оценке компании, примерно каждое второе веб-приложение содержит уязвимости высокого уровня риска. Если доступ к системе получит злоумышленник, он, во-первых, может украсть персональные данные пользователей, а во-вторых, вмешаться в управление шлагбаумами: нарушить работу аппаратуры, устроить транспортный коллапс и т.п., отметила Килюшева.

Хакеры впервые за три года украли деньги банка с его корсчета в ЦБ
Финансы
Фото:Павел Головкин / AP

Вероятнее всего, речь идет об уязвимости недостаточной проверки прав доступа на стороне сервера, обслуживающего приложение, считает заместитель руководителя департамента аудита Group-IB Павел Супрунюк. По его словам, это довольно распространенная уязвимость и связана она с ошибками в дизайне приложения. «За счет подобных уязвимостей очень часто формируются «слитые» базы данных. Иными словами, если злоумышленник узнал внутренние идентификаторы объектов в системе (то есть шлагбаумов и т.д.) и знал, как приложение делает запросы на примере тестового кабинета, то он мог совершать неавторизованные действия по открытию шлагбаумов и чтению персональных данных. Риски здесь, как и при любом «взломе», — утечка данных, неразбериха с правами доступа», — рассказал Супрунюк.

По признакам это, скорее всего, уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объект) в веб-приложении системы управления шлагбаумами, возникающая при ошибках разграничения прав между пользователями, говорит гендиректор Infosecurity a Softline Company Николай Агринский. «Злоумышленник, авторизовавшись под демонстрационным аккаунтом, перебирая ID-параметр, попадает в личные кабинеты других пользователей. Данный тип уязвимостей довольно распространенный, обнаруживался ранее на сайтах российских логистических компаний, медицинских организаций, интернет-магазинов. Разработчикам необходимо доработать бизнес-логику приложения в части авторизации», — отметил Агринский.

Group-IB предупредила об атакующей ретейл группе хакеров
Технологии и медиа
Фото:SeongJoon Cho / Bloomberg

Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Кроме того, через эту уязвимость возможно дальнейшее проникновение в инфраструктуру оператора шлагбаумов.

При этом злоумышленники могут попытаться получить прибыль от возможности контролировать работу оборудования и информацию, которую это оборудование обрабатывает, предупреждает эксперт лаборатории практического анализа защищенности центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая. «Основная опасность — возможность для злоумышленника собирать персональные данные жильцов домов. Уязвимость в системе позволяет извлекать информацию о номере телефона, имени, марке машины и адресе жителя, что может быть использовано для мошеннических действий. Например, для шантажа, когда злоумышленник может угрожать в СМС-сообщениях проколоть шины дорогой или часто используемой машины», — отметила Екатерина Рудая. Кроме того, по ее словам, функционал управления шлагбаумом может быть продан посторонним людям, которым временно удобно использовать внутренний двор дома. Наконец, хакеры могут «развлекаться», рассылая push-уведомления или блокируя шлагбаумы выезда.

Готовые квартиры в новых кварталах

В разных районах Москвы и области

Квартиры в столице 

с выгодой до ₽4,5 млн

Выгодные предложения 

для семей с детьми

Видовые квартиры 

в высотных башнях

Варианты с мебелью 

и встроенной техникой

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.



 

Лента новостей
Курс евро на 14 декабря
EUR ЦБ: 109,01 (-1,47)
Инвестиции, 13 дек, 18:37
Курс доллара на 14 декабря
USD ЦБ: 103,43 (-0,52)
Инвестиции, 13 дек, 18:37
Что формирует спрос на съемные квартиры в столичном регионе16:25
Медведев не исключил появление новых регионов в составе РоссииПолитика, 16:12
Премьер Грузии заявил, что «майдан» в стране не состоится никогдаПолитика, 16:12
Как оптимизировать бизнес-процессы при резком росте заказовРБК и Альфа-Лизинг, 16:00
Путин предложил запустить аналог программы «Время героев»Политика, 15:59
Тренды 2024 года в мире криптовалютКрипто, 15:57
«Россия 25» пропустила три шайбы за 68 секунд на Кубке «Первого канала»Спорт, 15:55
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Эрдоган назвал, в какой стране могли оказаться Дамаск и АлеппоПолитика, 15:53
Как low-code ускоряет разработку и вывод продуктов на рынокТренды, 15:53
Путин увидел «вагон проблем» в вопросах к прямой линииПолитика, 15:39
Куда любит ездить шеф-повар и совладелец ресторанов Selfie, «Гвидон» и IKРБК и Wey, 15:30
Мишустин выразил соболезнования в связи со смертью Раисы МаксимовойОбщество, 15:28
Вызовы и тренды: будущее R&D в промышленностиТренды, 15:27
Сирийцы впервые попали на личный курорт АсадаПолитика, 15:15