Вы используете устаревший браузер!

Страница может отображаться некорректно.

Следите за вещами!

Следите за вещами!

Другие выпуски этой рубрики (12)
  • добавить в избранное
    Добавить в закладки

Дверной ключ как анахронизм

Прочитали: 4692 Комментариев: 124 Рейтинг: 310

Может быть, тебе дать еще ключ от квартиры, где деньги лежат?

Илья Ильф, Евгений Петров, «Двенадцать стульев»

Анахронизм применительно к заголовку данного выпуска — отнесение событий, реалий или явлений одной эпохи к другой.

Во времена не столь отдаленные некоторые дверные замки воры открывали ногтем.

Пришли другие времена, а с ними — и другие возможности.

Умный дом, скорее всего, будет открывать дверь своему хозяину самостоятельно. Номера гостиниц уже сегодня отпираются с помощью карт. Удобно!

В системах контроля и управления доступом, выпускаемых компанией HID, обнаружена опасная уязвимость. Используя ее, злоумышленник может дистанционно отключить сигнализацию и открывать или закрывать электронные замки. Проблема связана с мигающими светодиодами. Команда, активирующая мигание, имеет параметр — число, которое сообщает, сколько раз должен мигнуть светодиод. Получив параметр, прошивка устройства вставляет его в командную строку Linux, а затем исполняет результат при помощи функции system.

Разработчики не предусмотрели проверку, фильтрующую параметры, которые не являются числами, и доверчиво отправляют system всё подряд. Злоумышленник может прибавить к параметру другие команды Linux, и все они будут исполнены c администраторскими правами.

https://xakep.ru/2016/04/01/hid/

Злоумышленник проник в номер отеля посредством специального устройства, которое использует уязвимость в электронных замках, разработанных компанией Onity. По подозрению во взломе был арестован 27-летний Мэтью Аллен Кук, который и ранее привлекался за кражу со взломом и воровство. Молодого человека удалось вычислить после того, как он сдал украденный из отеля ноутбук в ломбард.

http://www.securitylab.ru/news/432970.php

Как вы думаете, откуда вор узнал об уязвимости? Проводил долгие исследования ПО дверных систем отелей? На самом деле все гораздо проще!

Изначально уязвимость в этих замках была представлена на конференции Black Hat Security, где Коди Бросиус (Cody Brocious) продемонстрировал, как при помощи определенного устройства стоимостью менее $50 можно открыть любую дверь компании Onity, которая, по данным Forbes, используется в 4 миллионах гостиничных номеров по всему миру.

Уязвимость содержится в механизме взаимодействия между самим замком и портативным устройством, который персонал отеля использует для открывания и запирания номеров, не имея пластикового ключа-карты. Каждый замок имеет собственный зашифрованный ключ, который необходим для того, чтобы запустился механизм отпирания. Этот ключ в незащищенном виде хранится в памяти замка, доступ к которому хакер получает, подключив портативное устройство к разъему. Устройство забирает ключ из памяти и тут же «предъявляет» его этому же электронному замку, чтобы он открылся.

http://ria.ru/technology/20120724/708218202.html#ixzz452agSpXI

#уязвимость #мобильный

Dr.Web рекомендует

Времена меняются и, увы, возможности злоумышленников расширяются. Но доверять дверному замку мы уже не сможем никогда. А с какого устройства управляются системы умного дома, отпирающие дверные замки? Правильно: с мобильного телефона. А уж о многочисленных способах заразить гаджеты все мы хорошо наслышаны.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: