美国政府表示 Chirp Systems 应用程序存在安全漏洞,任何人都可以远程控制智能家居锁
美国数千所出租房屋使用的智能门禁系统存在漏洞,任何人都可以远程控制受影响房屋中的任何锁。 但制造该系统的 Chirp Systems 公司却忽略了修复该缺陷的请求。 美国网络安全机构 CISA 出访 上周向公众发布了安全建议 据称,Chirp 开发的手机应用程序(居民使用这些应用程序代替钥匙进入家中)“不正确地存储”了硬编码凭据,这些凭据可用于远程控制任何与 Chirp 兼容的智能锁。 依赖于存储在源代码中的密码(称为硬编码凭据)的应用程序存在安全风险,因为任何人都可以提取并使用这些凭据来执行模拟应用程序的操作。 在这种情况下,凭证允许任何人通过互联网远程锁定或解锁 Chirp 连接的门锁。 CISA 在其公告中表示,成功利用该漏洞“可能会让攻击者控制并获得对连接到 Chirp 智能家居系统的智能锁的不受限制的物理访问”。 该网络安全机构对该漏洞的严重性评分为 9.1 分(满分 10 分),因为该漏洞的“攻击复杂性较低”并且能够被远程利用。 该网络安全机构表示,Chirp Systems 尚未对 CISA 或发现该漏洞的研究人员做出回应。 安全研究员马特·布朗表示 资深安全记者布莱恩·克雷布斯 他于 2021 年 3 月向 Chirp 通报了该安全问题,但该漏洞仍未修复。 Chirp Systems 是房地产技术领域越来越多的公司之一,这些公司向租赁巨头提供与智能家居技术集成的无钥匙门禁控制。 租赁公司越来越多地迫使租户允许按照租约安装智能家居设备,但当安全问题出现时,谁承担责任或所有权充其量是模糊的。 房地产和租赁巨头卡姆登地产信托公司 (Camden Property Trust) 于 2020 年签署协议,向客户推出与 Chirp 连接的智能锁 超过 50,000 […]