Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Android-приложения для управления «умным» домом (IoT-устройствами) Wink Hub 2 и Insteon Hub были проанализированы экспертами по безопасности. В ходе исследования было выявлено, что оба приложения хранят конфиденциальные учетные данные в незашифрованном виде. Как правило, Android-приложения не имеют доступа к файлам других приложений

(за исключением системных служб со специальными привилегиями). Однако существуют способы, с помощью которых злоумышленники могут получить доступ к данным, поэтому Android предоставляет встроенное безопасное хранилище ключей для хранения конфиденциальной информации. Существуют различные методы шифрования учетных данных в хранилище, но некоторые разработчики по непонятным причинам не используют эти механизмы.

Данные приложений могут быть легко извлечены из утерянных или украденных телефонов, не имеющих сильную парольную защиту, или не использующих шифрование. По мнению исследователей, для этого не требуются особые навыки - только Google и 45 минут времени.

Как выяснили эксперты, Android-приложение для управления хабом Wink Hub 2 хранило в незащищенном виде учетные данные (токены), используемые для отслеживания сессий авторизованных пользователей. Токены позволяют мобильным приложениям отправлять команды на устройство Wink Hub через облачный сервис. Как отметили исследователи, даже когда были сгенерированы новые токены, старые все еще оставались действительными. Таким образом, даже если пользователь в случае утери смартфона сменит пароли в Wink, токены, хранящиеся на устройстве, остаются актуальными.

Исследователи отмечают, Wink уже выпустила обновление для своего приложения и планирует исправить проблему с токенами в ближайшем будущем.

Еще одна уязвимость была обнаружена в устройствах Insteon. Компания выпускает различные «умные» переключатели, лампочки, розетки, датчики, дверные замки, камеры и другие IoT-устройства. Гаджеты обмениваются сигналами в радиочастотном диапазоне на частоте 915 МГц. При этом из-за отсутствия шифрования злоумышленники могут перехватить такой сигнал, а затем повторно использовать его для получения контроля над устройством. Так, например, в ходе одного из экспериментов исследователям удалось перехватить и воспроизвести сигнал Insteon Garage Door Control Kit и открыть дверь гаража.

Учетные данные в приложении для управления хабом Insteon также хранились в незашифрованном виде, в том числе логины/пароли для учетных записей пользователей и непосредственного управления устройством через локальную сеть. Исследователи сообщили компании о наличии уязвимостей, однако Insteon пока не предприняла никаких действий по их устранению.

Специалисты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют в случае использования Android-приложений Wink Hub и Insteon Hub следить за появлением обновлений указанных приложений в Google Play Market и своевременно их устанавливать по мере их опубликования производителями.