Уязвимость уже исправлена
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили уязвимость в мобильном приложении Rubetek Home. Используя её, злоумышленники потенциально могли получить доступ к конфиденциальной информации жильцов квартир и частных домов, а также совершать несанкционированные действия с общедомовыми устройствами. Специалисты сообщили об уязвимости Rubetek, разработчик оперативно её устранил и выпустил обновление для своего решения на Android и iOS.
«Речь идёт об уязвимости, возникшей из-за применения небезопасного способа сбора аналитических данных. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки при помощи Telegram-бота. В результате некоторых манипуляций у злоумышленников потенциально появлялась возможность пересылать эти файлы себе. В них также содержались Refresh-токены, которые атакующие могли применять для входа в аккаунты жителей, — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России. — В последнее время логирование событий через Telegram становится всё более популярным. Это связано с удобством и оперативностью получения уведомлений о важных событиях и ошибках прямо в мессенджере. Однако такой подход требует осторожности: рекомендуем не пересылать конфиденциальные данные в логах приложения, к тому же следует запретить копирование и пересылку контента из группы в настройках Telegram или использовать параметр protect_content при отправке сообщения через Telegram-бот. В целом, крайне важно, чтобы компании учитывали требования информационной безопасности при разработке приложений или внедрении новых опций».
Используя обнаруженную уязвимость, злоумышленники имели возможность перехватывать данные, которые отправлялись разработчику с приложений Rubetek Home для Android и iOS. Среди таких сведений:
· личные данные жильцов и информация о ЖК или частном доме;
· список устройств, подключённых к системе умного дома, и события с них;
· системная информация о девайсах внутри локальной домашней сети (MAC-адрес, IP-адрес, тип гаджета);
· IP-адреса для подключения к камерам через протокол WEBRTC;
· переписка с жильцами в форме помощи;
· снимки с умных камер и домофонов;
· токены, позволяющие получить новую сессию от аккаунта пользователя.
Эксперты отмечают, что полученная информация потенциально позволила бы злоумышленникам в том числе совершать несанкционированные действия: например открывать ворота и двери дома через домофон, просматривать, кто заходил в дом или на территорию ЖК, управлять устройствами умного дома, если они настроены и подключены к системе.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 30 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
