Взлом домашней системы безопасности выявил проблемы уязвимости Интернета вещей

Видео на YouTube демонстрирует, как устройство можно обмануть с помощью беспроводного излучателя за 2 доллара, который имитирует частоту своих дверных и оконных датчиков.

У систем домашней безопасности на основе IoT были свои проблемы с безопасностью, но это не удерживало потребителей от их покупки. По мере роста их популярности, кажется, растет и количество обнаруженных в них недостатков безопасности.

Благодаря ютуберу, который называет себя «LockPickingLawyer», система безопасности SimpliSafe DIY оказалась легко скомпрометирована беспроводным передатчиком за 2 доллара.

См. также: Новые рекомендации по безопасности IoT высокого уровня от NIST

В видео LockPickingLawyer продемонстрировал, как дешевый беспроводной передатчик, который имитирует частоту дверных и оконных датчиков системы, может блокировать срабатывание сигнализации при открытии двери или окна. Это достигается за счет использования передатчика одновременно с открытием двери или окна. Он добавил, что если излучатель подойдет слишком близко к базе сигнализации, пользователь получит уведомление о беспроводных помехах. Этот взлом стал возможен благодаря тому, что система полагается на частоту 433,92 МГц, которая используется большим количеством другой электроники.

Когда The Verge связались с SimpliSafe, они оспорили выводы ютубера:

«Видео вводит в заблуждение и не относится к тому, как работают системы безопасности в реальной жизни. В этом видео создатель видео находит точную частоту, силу сигнала и ориентацию компонентов системы, в которые он может вдеть иглу, блокируя системную связь, не вызывая оповещения.

В реальной жизни это маловероятно. Поскольку сила сигнала непредсказуемо снижается в зависимости от расстояния и рельефа местности, кому-либо будет очень сложно выбрать «правильную» мощность, не активировав оповещение».

LockPickingLawyer ответил:«SimpliSafe не согласен с тем, что компоненты системы расположены близко друг к другу во время видео. Это было необходимостью кинопроизводства, а не физическим ограничением подвига. В своем тестировании я перенес датчики от базовой станции в дальние уголки своего дома, затем провел те же тесты с тем же устройством и получил те же результаты. Во всяком случае, тестирование на реальных расстояниях показало более серьезную проблему, поскольку система SimpliSafe с меньшей вероятностью могла обнаружить помехи.

Другая критика SimpliSafe заключается в том, что кому-то потребуется предварительное знание устройства системы, чтобы избежать обнаружения помех. Компания атакует соломенного человека. То, что необходимо для того, чтобы избежать обнаружения этого эксплойта, не входило в рамки моего тестирования. На самом деле, в моем видео прямо указано, что SimpliSafe может обнаруживать помехи. Однако в моих тестах обнаружение помех ни разу не вызвало тревогу. Он только отправил «предупреждение», которое резидент может расследовать, а может и не расследовать».

Это не первый раз, когда SimpliSafe подвергается критике из-за проблем с безопасностью. В 2016 году система была признана «небезопасной и уязвимой по своей сути» после того, как исследователи из IOActive смогли проникнуть в систему безопасности и обезвредить ее, а также прослушивать радиопереговоры, а специалист по продажам и интеграции систем безопасности и эксперт по тревогам проанализировал систему и результаты были мрачными.