Домашняя охранная система должна успокаивать, а не создавать новую точку входа для взломщика. Но именно так вышло с популярной Wi-Fi-сигнализацией Fortress S03: исследователи нашли в ней две уязвимости, позволяющие постороннему удалённо изменить поведение системы и снять её с охраны без ведома владельца.
Что за устройство
Fortress S03 Wi-Fi Home Security System — это охранный комплект по принципу «сделай сам» (DIY). Он рассчитан на защиту квартир, домов и небольшого бизнеса от взломщиков, пожара, утечек газа и воды. Система работает через Wi-Fi и использует технологию RFID для бесключевого доступа. По данным производителя, его охранные и наблюдательные системы используют «тысячи клиентов».
Две дыры без патча
Уязвимости обнаружила и в мае 2021 года передала вендору команда компании Rapid7, дав стандартный срок в 60 дней на исправление. Обе проблемы получили идентификаторы:
- CVE-2021-39276 (оценка CVSS: 5.3);
- CVE-2021-39277 (оценка CVSS: 5.7).
Исследователи назвали их «тривиально простыми в эксплуатации».
Первая уязвимость связана с неаутентифицированным доступом к API. Зная email-адрес жертвы, атакующий может обратиться к API и вытащить номер IMEI устройства — он же служит серийным номером. Имея на руках IMEI и email, злоумышленник получает возможность вносить несанкционированные изменения, в том числе отключать сигнализацию обычным неаутентифицированным POST-запросом.
Вторая уязвимость — это атака повторного воспроизведения радиосигнала (RF replay). Из-за отсутствия нормального шифрования командно-управляющий радиообмен можно перехватить «по воздуху» с помощью программно-определяемого радио (SDR), а затем воспроизвести запись, чтобы выполнить на устройстве конкретные команды — например, «поставить на охрану» и «снять с охраны».
Насколько это опасно
«В случае CVE-2021-39276 атакующий, зная email-адрес пользователя Fortress S03, может легко снять с охраны установленную дома сигнализацию без ведома владельца», — пояснили исследователи.
«CVE-2021-39277 создаёт похожие проблемы, но требует меньше предварительных знаний о жертве: злоумышленнику достаточно понаблюдать за объектом и дождаться, пока владелец воспользуется устройствами с радиоуправлением в зоне приёма. После этого можно в любой момент повторно проиграть команду "снять с охраны" — снова незаметно для владельца».
Реакция вендора
Rapid7 сообщила Fortress Security об ошибках 13 мая 2021 года — но уже через 11 дней, 24 мая, компания просто закрыла обращение. На момент публикации проблемы оставались неисправленными.
Что делать пользователям
Поскольку уязвимости никуда не делись, до появления обновлений исследователи советуют:
- Против CVE-2021-39276 — настраивать сигнализацию на уникальный одноразовый email-адрес, чтобы обойти утечку IMEI.
- Против CVE-2021-39277 — здесь сделать почти ничего нельзя без прошивки, которая введёт криптографическую защиту радиосигналов. Тем, кого беспокоит эта угроза, стоит отказаться от брелоков и других радиоустройств, привязанных к домашней охранной системе.
Источник: The Hacker News.