Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

В системе управления придомовыми шлагбаумами нашли уязвимость

Из-за нее хакеры могли получить доступ к данным трети подобных устройств в столице
Компания Postuf сообщила об уязвимости в системе управления шлагбаумами «АМ Видео»
В одной из популярных систем управления шлагбаумами была найдена уязвимость. Риск от такой ошибки — утечка данных пользователей и переход контроля над устройствами к хакерам. Оператор систем въезда ошибку уже устранил
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В системе управления преимущественно придомовыми шлагбаумами частной компании «АМ Видео» была обнаружена опасная уязвимость. Об этом РБК рассказал сооснователь компании в сфере кибербезопасности Postuf Бекхан Гендаргеноевский.

Основная часть — около 85% — шлагбаумов, управляемых системой, сконцентрированы в Москве, еще 10% расположены в Московской области, остальные — в других регионах. Речь идет о трети всех установленных шлагбаумов в Москве, более 1500 штук, отметил Гендаргеноевский.

«Уязвимость заключается в недостатке системы авторизации в веб-приложении, которая позволяет при минимальных правах доступа с демонстрационного аккаунта получать информацию о любых объектах системы, что открывает возможность управлять ими, — рассказал сооснователь Postuf. — Получение данных через уязвимость производится методом брутфорса (в данном случае — подбор ID камер, шлагбаумов путем поочередного перебора возможных комбинаций. — РБК)».

По мнению Гендаргеноевского, уязвимость могла возникнуть в связи с тем, что компания стремилась делать разработку своими силами, вместо того чтобы передать процесс на аутсорсинг. «Возможно, компания не потянула: код написали, а множество этапов его жизненного цикла, в том числе тестирование и безопасность, — не смогли», — рассуждает он.

Хакеры атаковали тысячи компаний из России с помощью Log4Shell
Технологии и медиа
Фото:Александр Авилов / АГН «Москва»

Гендаргеноевский пояснил, что Postuf проводит аналитику для сбора данных из открытых источников и изредка сталкивается с системами со слабой безопасностью. Так как специалисты компании считают себя «белыми хакерами», их цель заключается в том, чтобы предупреждать о возможной опасности.

После того как РБК обратился за комментарием к «АМ Видео», компания оперативно устранила уязвимость (в Postuf подтвердили устранение ошибки). «Мы оперативно организовали работу, своевременно устранили найденную уязвимость. Благодарим компанию, которая ее обнаружила. Не ошибается тот, кто не работает. Без ошибок и проблем никакая компания существовать не может», — сказал РБК учредитель «АМ Видео» Антон Уткин.

Причины появления уязвимости и последствия

Само по себе обнаружение уязвимости не является примечательным фактом, считает руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева. По оценке компании, примерно каждое второе веб-приложение содержит уязвимости высокого уровня риска. Если доступ к системе получит злоумышленник, он, во-первых, может украсть персональные данные пользователей, а во-вторых, вмешаться в управление шлагбаумами: нарушить работу аппаратуры, устроить транспортный коллапс и т.п., отметила Килюшева.

Хакеры впервые за три года украли деньги банка с его корсчета в ЦБ
Финансы
Фото:Павел Головкин / AP

Вероятнее всего, речь идет об уязвимости недостаточной проверки прав доступа на стороне сервера, обслуживающего приложение, считает заместитель руководителя департамента аудита Group-IB Павел Супрунюк. По его словам, это довольно распространенная уязвимость и связана она с ошибками в дизайне приложения. «За счет подобных уязвимостей очень часто формируются «слитые» базы данных. Иными словами, если злоумышленник узнал внутренние идентификаторы объектов в системе (то есть шлагбаумов и т.д.) и знал, как приложение делает запросы на примере тестового кабинета, то он мог совершать неавторизованные действия по открытию шлагбаумов и чтению персональных данных. Риски здесь, как и при любом «взломе», — утечка данных, неразбериха с правами доступа», — рассказал Супрунюк.

По признакам это, скорее всего, уязвимость IDOR (Insecure Direct Object Reference — небезопасные прямые ссылки на объект) в веб-приложении системы управления шлагбаумами, возникающая при ошибках разграничения прав между пользователями, говорит гендиректор Infosecurity a Softline Company Николай Агринский. «Злоумышленник, авторизовавшись под демонстрационным аккаунтом, перебирая ID-параметр, попадает в личные кабинеты других пользователей. Данный тип уязвимостей довольно распространенный, обнаруживался ранее на сайтах российских логистических компаний, медицинских организаций, интернет-магазинов. Разработчикам необходимо доработать бизнес-логику приложения в части авторизации», — отметил Агринский.

Group-IB предупредила об атакующей ретейл группе хакеров
Технологии и медиа
Фото:SeongJoon Cho / Bloomberg

Кроме удаленного открытия шлагбаумов, имея доступ к подобным приложениям, злоумышленник может «подсадить» вредоносный код в код приложения, и когда пользователь зайдет в него, к нему подгрузится какой-нибудь эксплойт (подвид вредоносной программы, использующий уязвимости системы), а злоумышленник получит полный контроль над устройством пользователя, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Кроме того, через эту уязвимость возможно дальнейшее проникновение в инфраструктуру оператора шлагбаумов.

При этом злоумышленники могут попытаться получить прибыль от возможности контролировать работу оборудования и информацию, которую это оборудование обрабатывает, предупреждает эксперт лаборатории практического анализа защищенности центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая. «Основная опасность — возможность для злоумышленника собирать персональные данные жильцов домов. Уязвимость в системе позволяет извлекать информацию о номере телефона, имени, марке машины и адресе жителя, что может быть использовано для мошеннических действий. Например, для шантажа, когда злоумышленник может угрожать в СМС-сообщениях проколоть шины дорогой или часто используемой машины», — отметила Екатерина Рудая. Кроме того, по ее словам, функционал управления шлагбаумом может быть продан посторонним людям, которым временно удобно использовать внутренний двор дома. Наконец, хакеры могут «развлекаться», рассылая push-уведомления или блокируя шлагбаумы выезда.

Готовые квартиры в новых кварталах

В разных районах Москвы и области

Квартиры в столице с выгодой до ₽4,5 млн

Выгодные предложения для семей с детьми

Видовые квартиры в высотных башнях

Варианты с мебелью и встроенной техникой

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.


 

Лента новостей
Курс евро на 22 ноября
EUR ЦБ: 106,08 (+0,27)
Инвестиции, 21 ноя, 17:35
Курс доллара на 22 ноября
USD ЦБ: 100,68 (+0,46)
Инвестиции, 21 ноя, 17:35
Число жалоб в ЦБ резко выросло из-за реестра подозрительных счетовФинансы, 08:33
Поможет ли чудо «Спартаку». Главные интриги тура РПЛСпорт, 08:33
Биткоин вырос до $99 тыс. и обновил исторический максимумФинансы, 08:28
«Колонизировать» Белый дом: что Илон Маск получит от президентства ТрампаPro, 08:26
В Киевской и Сумской областях сообщили о работе систем ПВОПолитика, 08:25
ВТБ назвал три главные схемы мошенничества в «черную пятницу»Бизнес, 08:07
Царь супов русских: все о борщеВино, 08:07
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Арбитраж Москвы объяснил отзыв запроса в КС о «наказании за неудачу»Экономика, 08:00
Какие предбанкротные сделки должника Верховный суд считает нормальнымPro, 07:57
Минобороны сообщило о 23 сбитых за ночь беспилотниках над РоссиейПолитика, 07:44
Экономисты обсудили конец «российской модели» рынка трудаЭкономика, 07:34
На окраине Калуги сбили шесть украинских БПЛАПолитика, 07:04
Вечные. Как экс-топ ЛУКОЙЛа продает жизнь после смерти за ₽10 тыс.Pro, 07:04
Глава Red Wings рассказал о планах на ребрендинг перевозчикаБизнес, 07:02