• Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда

  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

В приложении Rubetek Home исправили уязвимость

Sascha Оффлайн

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,483
Баллы
155


Аналитики «Лаборатории Касперского» обнаружили уязвимость в мобильном приложении Rubetek Home. Злоумышленники могли получить доступ к конфиденциальной информации жильцов квартир и частных домов, а также совершать несанкционированные действия с общедомовыми устройствами.

Как объяснил Дмитрий Галов, руководитель Kaspersky GReAT в России, уязвимость в приложении возникла из-за небезопасного способа сбора аналитических данных. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки с помощью Telegram-бота.

«В результате некоторых манипуляций у злоумышленников потенциально появлялась возможность пересылать эти файлы себе. В них также содержались Refresh-токены, которые атакующие могли применять для входа в аккаунты жителей, — рассказывает Галов. — В последнее время логирование событий через Telegram становится все более популярным. Это связано с удобством и оперативностью получения уведомлений о важных событиях и ошибках прямо в мессенджере. Однако такой подход требует осторожности: рекомендуем не пересылать конфиденциальные данные в логах приложения, к тому же следует запретить копирование и пересылку контента из группы в настройках Telegram или использовать параметр protect_content при отправке сообщения через Telegram-бот. В целом, крайне важно, чтобы компании учитывали требования информационной безопасности при разработке приложений или внедрении новых опций».
Нажмите, чтобы раскрыть...
Используя эту уязвимость, злоумышленники могли перехватывать данные, которые отправлялись разработчиками с приложений Rubetek Home для Android и iOS:

  • личные данные жильцов и информация о ЖК или частном доме;
  • список устройств, подключенных к системе умного дома, и события с них;
  • системная информация об устройствах внутри локальной домашней сети (MAC-адрес, IP-адрес, тип гаджета);
  • IP-адреса для подключения к камерам через протокол WebRTC;
  • переписка с жильцами в форме помощи;
  • снимки с умных камер и домофонов;
  • токены, позволяющие получить новую сессию от аккаунта пользователя.

Отмечается, что полученная информация потенциально позволяла совершать такие несанкционированные действия, как открытие ворот и дверей дома через домофон, просматривать, кто заходил в дом или на территорию ЖК, управлять устройствами умного дома, если они настроены и подключены к системе.

Специалисты уведомили об уязвимости разработчиков Rubetek, и компания оперативно устранила проблему, выпустив обновление для своего решения на Android и iOS.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.


Источник:

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.
Нажмите, чтобы раскрыть...
 
Вам необходимо войти или зарегистрироваться, чтобы здесь отвечать.
Вверх Снизу