ABD’deki binlerce kiralık evde kullanılan akıllı erişim kontrol sistemindeki bir güvenlik açığı, herkesin etkilenen evdeki herhangi bir kilidi uzaktan kontrol etmesine olanak tanıyor. Ancak sistemi üreten şirket Chirp Systems, kusurun düzeltilmesi yönündeki talepleri görmezden geldi.
ABD siber güvenlik kurumu CISA, geçtiğimiz hafta Chirp tarafından geliştirilen ve sakinlerin evlerine erişmek için anahtar yerine kullandıkları telefon uygulamalarının, herhangi bir Chirp’i uzaktan kontrol etmek için kullanılabilecek sabit kodlu kimlik bilgilerini “uygunsuz bir şekilde sakladığını” belirten bir güvenlik tavsiyesi yayınlayarak kamuoyuna duyurdu. uyumlu akıllı kilit.
Kaynak kodunda saklanan ve sabit kodlama kimlik bilgileri olarak bilinen parolalara dayanan uygulamalar, herhangi birinin bu kimlik bilgilerini çıkarıp uygulamanın kimliğine bürünen eylemler gerçekleştirmek için kullanabileceği bir güvenlik riskidir. Bu durumda, kimlik bilgileri herkesin Chirp’e bağlı bir kapı kilidini internet üzerinden uzaktan kilitlemesine veya kilidini açmasına izin verdi.
CISA, tavsiye niteliğindeki açıklamasında, kusurun başarılı bir şekilde kullanılmasının, bir saldırganın Chirp akıllı ev sistemine bağlı akıllı kilitlere kontrolü ele geçirmesine ve sınırsız fiziksel erişim elde etmesine izin verebileceğini söyledi. Siber güvenlik kurumu, “düşük saldırı karmaşıklığı” ve uzaktan istismar edilebilme yeteneği nedeniyle güvenlik açığı ciddiyet puanını maksimum 10 üzerinden 9,1 olarak verdi.
Siber güvenlik kurumu, Chirp Systems’in ne CISA’ya ne de güvenlik açığını bulan araştırmacıya yanıt vermediğini söyledi.
Güvenlik araştırmacısı Matt Brown, deneyimli güvenlik gazetecisi Brian Krebs’e, Mart 2021’de Chirp’e güvenlik sorununu bildirdiğini ancak güvenlik açığının düzeltilmediğini söyledi.
Chirp Systems, kiralama devlerine akıllı ev teknolojileriyle entegre olan anahtarsız erişim kontrolleri sağlayan, emlak teknolojisi alanında sayıları giderek artan şirketlerden biridir. Kiralama şirketleri, kiracıları, kira sözleşmelerinin gerektirdiği şekilde akıllı ev ekipmanlarının kurulumuna izin vermeye giderek daha fazla zorluyor, ancak güvenlik sorunları ortaya çıktığında sorumluluğu veya mülkiyeti kimin üstleneceği en iyi ihtimalle belirsizdir.
Emlak ve kiralama devi Camden Property Trust, 2020 yılında Chirp bağlantılı akıllı kilitlerin yüzün üzerinde mülkte 50.000’den fazla birimde kullanıma sunulması için bir anlaşma imzaladı. Camden gibi etkilenen tesislerin bu güvenlik açığından haberdar olup olmadığı veya harekete geçip geçmediği belli değil. Camden’ın sözcüsü Kim Callahan yorum talebine yanıt vermedi.
Chirp, 2020 yılında mülk yönetimi yazılımı devi RealPage tarafından satın alındı ve RealPage, aynı yılın sonlarında özel sermaye devi Thoma Bravo tarafından 10,2 milyar dolarlık bir anlaşmayla satın alındı. RealPage, kira belirleme yazılımının ev sahiplerinin kiracılar için mümkün olan en yüksek kiraları artırmasına yardımcı olmak için gizli ve özel algoritmalar kullandığı iddiaları nedeniyle çeşitli hukuki zorluklarla karşı karşıya.
Ne RealPage ne de Thoma Bravo, edindikleri yazılımdaki güvenlik açıklarını henüz kabul etmedi veya etkilenen sakinleri güvenlik riski konusunda bilgilendirmeyi planlayıp planlamadıklarını söylemedi.
RealPage sözcüsü Jennifer Bowcock, TechCrunch’tan gelen yorum taleplerine yanıt vermedi. Thoma Bravo’nun sözcüsü Megan Frank da yorum taleplerine yanıt vermedi.
Kaynak: https://techcrunch.com/2024/04/22/cisa-chirp-systems-remotely-unlock-smart-locks/