Minglab issiq vannalar buzib kirilishi mumkin
BWG issiq vannani boshqarish mobil ilovasida foydalanuvchi autentifikatsiya mexanizmi yo’q edi.
Onlayn boshqaruv panelidagi zaiflik issiq vannani buzib kirish va masofadan boshqarish imkonini beradi. Tadqiqotchilarning fikriga ko’ra, bu muammo minglab issiq vannalarga ta’sir qiladi. Britaniyaning Pen Test Partners xavfsizlik firmasi mutaxassislari BBCning Click ko’rsatuvida ruxsatsiz shaxs issiq vannani masofadan boshqarishi va suv harorati, nasoslar va yoritishni qanday sozlashi mumkinligini namoyish etdilar.
Zaif issiq vannalar mobil ilova orqali boshqariladi. Biroq, Wi-Fi ma’lumotlar bazalariga kirish tajovuzkorlarga GPS ma’lumotlaridan foydalanish va o’g’irlashni nazorat qilish imkonini beradi.
Tadqiqotchilarning fikriga ko’ra, kirish mumkin bo’lgan manbalardan («g’azablantiruvchi ma’lumotlar bazalari» deb ataladigan) olingan ma’lumotlar hech qanday autentifikatsiyasiz issiq vannani buzib kirish imkonini beradi. «G’azablantiruvchi ma’lumotlar bazalari faqat kimdir vannada bo’lganida ishlaydi. Bu shuni anglatadiki, xaker siz haqiqatan ham cho’milyapsizmi yoki yo’qmi, aniqlashi mumkin, bu biroz qo’rqinchli», deb ta’kidladi Pen Test Partners vakili Ken Munro.
Zaif vannalar ishlab chiqaruvchisi Balboa Water Group (BWG) fevral oyi oxiriga qadar zaiflikni tuzatishga va’da berdi.
BWG vakillari BBCga zaiflik haqida bilib, juda hayron bo’lishganini aytishdi. Kompaniyaning butun dunyo bo’ylab mijozlari ushbu ilovadan besh yildan beri foydalanib kelishmoqda va hozirgacha hech qanday shikoyat bo’lmagan.
Ishlab chiqaruvchi hozirda ilovada individual hisob ma’lumotlaridan foydalangan holda foydalanuvchi autentifikatsiya tizimini joriy etish ustida ishlamoqda. Ilgari, BWG ilovada avtorizatsiyani talab qilmagan, chunki kompaniya foydalanuvchilarga issiq vanna sozlamalarini boshqarishni iloji boricha osonlashtirmoqchi edi.
Munro bu yondashuvni mas’uliyatsiz deb atadi. «Iste’molchi IoT qurilmalarining xavfsizligi hali ham juda yaxshi. Biz aniqlagan muammo buni yana bir bor isbotlaydi», deb ta’kidladi ekspert.
Вардрайвинг – процесс поиска и взлома уязвимых точек доступа беспроводных сетей Wi-Fi с помощью переносного компьютера сWi-Fi-адаптером. Для пространственного поиска и локализации точки используется транспортное средство.
