in

¡Pwned! El sistema de seguridad para el hogar que puede ser pirateado usando su dirección de correo electrónico – Naked Security


Un investigador con vulnerabilidad y empresa del equipo rojo Rapid7 descubrió recientemente dos fallas de seguridad riesgosas en un producto de seguridad digital para el hogar.

El primer error, que se informó en mayo de 2021 y se denominó CVE-2021-39276, significa que un atacante que conoce la dirección de correo electrónico que usó para registrar su producto identificaría efectivamente su correo electrónico, ya que la contraseña se puede usar para emitir comandos al sistema, incluido el apagado del despertador completo.

El producto afectado proviene de la empresa. Negocio de seguridad de la fortaleza, que vende dos configuraciones de seguridad para el hogar de marca, el nivel de entrada Sistema de seguridad WLAN S03que comienza en $ 130 y es más caro Sistema de seguridad WiFi S6 Titan 3G / 4G, desde $ 250.

El intrépido investigador Arvind Vishwakarma adquirió un sistema de arranque S03 que incluye un panel de control, mando a distancia, sensor de puerta o ventana, detector de movimiento y una sirena interior.

(La compañía también vende etiquetas y sensores adicionales, sirenas para exteriores, que se cree que son más ruidosas, y detectores de movimiento «inmunes a las mascotas» que creemos que son menos sensibles que los normales).

Desafortunadamente, Vishwakarma no necesitó mucho para comprometer el sistema y descubrir cómo controlarlo tanto local como remotamente sin autorización.