Лента новостей
Авторская кухня и VR-туры: чем хорош бизнес-зал «Сбера» в Шереметьево 19:00 Си Цзиньпин приказал остановить волну массовых убийств в Китае 18:54, Новость Денис Мантуров рассказал об обеспечении технологического лидерства страны 18:53 Какие авиакомпании приостановили полеты в некоторые города России 18:50, Статья Топ-10 лучших новостей 2024 года в мире криптовалют. Версия Wu Blockchain 18:39, Статья Два моряка погибли на гонке Сидней — Хобарт от удара яхтенным гиком 18:39, Новость Как преодолеть языковой барьер для ведения бизнеса с Индией 18:39 Большой гид по «Серии плюс»: чем интересны кварталы ПИК нового поколения 18:39 Wine Spectator назвал 10 главных винных историй уходящего года 18:38 Румынский радар засек на границе похожий на дрон объект 18:29, Новость Газпромбанк стал «Банком года» на премии «Финансовая элита России 2024» 18:27 Горнолыжника эвакуировали на вертолете после падения перед этапом КМ 18:25, Статья Кадыров объявил 28 декабря днем траура в связи с крушением Embraer 190 18:22, Новость Какие возможности Москва открывает перед предпринимателями 18:18 Как генеративный искусственный интеллект оценивает бизнес-показатели 18:09 Evraz steel house — о том, как строительный рынок чувствует себя в кризис 18:00 За какие машины в 2025 году придется заплатить налог на роскошь: список 18:00, Статья РПЦ объяснила отставку Илариона «характером отношений» с окружением 17:59, Статья
Газета
Придомовые парковки приоткрылись для хакеров
Газета № 203 (3492) (2912) Технологии и медиа,
0

Придомовые парковки приоткрылись для хакеров

В распространенной системе управления шлагбаумами обнаружена уязвимость
В одной из популярных систем управления шлагбаумами была найдена уязвимость. Риск от такой ошибки — утечка данных пользователей и переход контроля над устройствами к хакерам. Оператор систем въезда ошибку уже устранил
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В системе управления преимущественно придомовыми шлагбаумами частной компании «АМ Видео» была обнаружена опасная уязвимость. Об этом РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.

Основная часть — около 85% — шлагбаумов, управляемых системой, сконцентрированы в Москве, еще 10% расположены в Московской области, остальные — в других регионах. Речь идет о трети всех установленных шлагбаумов в Москве, более 1500 штук, отметил Гендаргеноевский.

«Уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими, — рассказал сооснователь Postuf. — Получение данных через уязвимость производится методом брутфорса (в данном случае — подбор ID камер, шлагбаумов путем поочередного перебора возможных комбинаций. — РБК)».

По мнению Гендаргеноевского, уязвимость могла возникнуть в связи с тем, что компания стремилась делать разработку своими силами, вместо того чтобы передать процесс на аутсорсинг. «Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — рассуждает он.

Технологии и медиа
Хакеры атаковали тысячи компаний из России с помощью Log4Shell Фото: Александр Авилов / АГН «Москва»

Гендаргеноевский пояснил, что Postuf проводит аналитику для сбора данных из открытых источников и изредка сталкивается с системами со слабой безопасностью. Так как специалисты компании считают себя «белыми хакерами», их цель заключается в том, чтобы предупреждать о возможной опасности.

После того как РБК обратился за комментарием к «АМ Видео», компания оперативно устранила уязвимость (в Postuf подтвердили устранение ошибки). «Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая ее обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал РБК учредитель «АМ Видео» Антон Уткин.

Причины появления уязвимости и последствия

Само по себе обнаружение уязвимости не является примечательным фактом, считает руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева. По оценке компании, примерно каждое второе веб-приложение содержит уязвимости высокого уровня риска. Если доступ к системе получит злоумышленник, он, во-первых, может украсть персональные данные пользователей, а во-вторых, вмешаться в управление шлагбаумами: нарушить работу аппаратуры, устроить транспортный коллапс и т.п., отметила Килюшева.

Финансы
Хакеры впервые за три года украли деньги банка с его корсчета в ЦБ Фото: Павел Головкин / AP

Вероятнее всего, речь идет об уязвимости недостаточной проверки прав доступа на стороне сервера, обслуживающего приложение, считает заместитель руководителя департамента аудита Group-IB Павел Супрунюк. По его словам, это довольно распространенная уязвимость и связана она с ошибками в дизайне приложения. «За счет подобных уязвимостей очень часто формируются «слитые» базы данных. Иными словами, если злоумышленник узнал внутренние идентификаторы объектов в системе (то есть шлагбаумов и т.д.) и знал, как приложение делает запросы на примере тестового кабинета, то он мог совершать неавторизованные действия по открытию шлагбаумов и чтению персональных данных. Риски здесь, как и при любом «взломе», — утечка данных, неразбериха с правами доступа», — рассказал Супрунюк.

По признакам это, скорее всего, уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объект) в веб-приложении системы управления шлагбаумами, возникающая при ошибках разграничения прав между пользователями, говорит гендиректор Infosecurity a Softline Company Николай Агринский. «Злоумышленник, авторизовавшись под демонстрационным аккаунтом, перебирая ID-параметр, попадает в личные кабинеты других пользователей. Данный тип уязвимостей довольно распространенный, обнаруживался ранее на сайтах российских логистических компаний, медицинских организаций, интернет-магазинов. Разработчикам необходимо доработать бизнес-логику приложения в части авторизации», — отметил Агринский.

Технологии и медиа
Group-IB предупредила об атакующей ретейл группе хакеров Фото: SeongJoon Cho / Bloomberg

Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Кроме того, через эту уязвимость возможно дальнейшее проникновение в инфраструктуру оператора шлагбаумов.

При этом злоумышленники могут попытаться получить прибыль от возможности контролировать работу оборудования и информацию, которую это оборудование обрабатывает, предупреждает эксперт лаборатории практического анализа защищенности центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая. «Основная опасность — возможность для злоумышленника собирать персональные данные жильцов домов. Уязвимость в системе позволяет извлекать информацию о номере телефона, имени, марке машины и адресе жителя, что может быть использовано для мошеннических действий. Например, для шантажа, когда злоумышленник может угрожать в СМС-сообщениях проколоть шины дорогой или часто используемой машины», — отметила Екатерина Рудая. Кроме того, по ее словам, функционал управления шлагбаумом может быть продан посторонним людям, которым временно удобно использовать внутренний двор дома. Наконец, хакеры могут «развлекаться», рассылая push-уведомления или блокируя шлагбаумы выезда.