Bárki kinyithatja az okos garázskapukat

nexx garázskapu
Négy hónapja próbál aktívan tudomást sem venni a hibákról a Nexx
Vágólapra másolva!
Hónapok óta nem hajlandó reagálni a termékének súlyos sebezhetőségeire a gyártó.
Vágólapra másolva!

Elképesztő hibákat talált az okosotthonos kiegészítőket készítő Nexx okos garázskapunyitó vezérlőegységében egy biztonsági kutató, amelyek segítségével véletlenszerűen és célzottan is kinyithatóak távolról az ügyfelek garázskapui.

Négy hónapja próbál aktívan tudomást sem venni a hibákról a Nexx Forrás: Nexx

A cég vezérlőegysége lehetővé teszi a felhasználók számára, hogy mobilappon keresztül nyissák és csukják a garázskapuikat. Viszont a klasszikus távirányítós rendszerektől eltérően a vezérlőegységük és a telefonjuk nem közvetlenül kommunikálnak a parancsadáskor, hanem mindkettő az internetre csatlakozik, majd egy internetes szerver közvetít köztük.

Sam Sabetan öt különálló sebezhetőséget talált a Nexx termékében, az összes közül a messze legfontosabb probléma, hogy minden egyes garázskapu vezérlőegysége ugyanazzal az előre beállított mesterjelszóval csatlakozik fel a rendszer internetes vezérlőhálózatába. A jelszóval bárki beléphet a hálózatba, láthatja az összes hozzá csatlakozó eszközt és a tulajdonosaik e-mail-címeit, majd parancsokat hamisítva véletlenszerűen vagy célzottan nyitogathatja mások kapuit.

Architekturális szintű hibáról van szó, a hackerek mások nevében tudnak utasításokat kiadni a hálózatra csatlakozó kütyüknek.

Sabetan január elején próbálta jelenteni a felfedezett hibákat a gyártó számára, ám az két alkalommal is válasz nélkül lezárta az ügyfélszolgálaton nyitott hibajegyeit, továbbá e-mailben sem volt hajlandó reagálni a gondokkal kapcsolatos megkeresésekre. Emiatt a kutató az USA Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségéhez (CISA) fordult, amely kiértékelte a sebezhetőségeket és CVE hibajegyeket rendelt hozzájuk, plusz megpróbálta felvenni a kapcsolatot a céggel, ám az még a Belbiztonsági Minisztériumhoz tartozó kormányszervet sem volt hajlandó szóra méltatni.

Az iparági szabvány 90 napos türelmi idő lejárta miatt a napokban nyilvánossá váltak a Sabetan által felfedezett hibák részletes dokumentációi, így ha a gyártó továbbra is játssza a süketet és némát, akkor csak az érdeklődő hackereken múlik, hogy mikor kezdenek érthetetlenül kinyílogatni a garázskapuk.

A sebezhetőségek a Nexx okos konnektorait és riasztóit is érintik, azoknak is küldhetőek parancsok a hálózaton keresztül.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!

Google News
A legfrissebb hírekért kövess minket az Origo Google News oldalán is!