В умном термостате Bosch BCC100 нашли уязвимость CVE-2023-49722, которая позволяет неаутентифицированному злоумышленнику подменить прошивку устройства на зловредную. Для этого злоумышленник должен находиться в одной Wi-Fi сети с устройством. Потенциально можно установить в такой термостат бэкдор, использовать для перехвата трафика, перемещаться с него на другие устройства и прочее. Всё потому, что на устройстве был открытый отладочный порт 8899, который забыли убрать. 🤷♂️
Почему я скептически отношусь к "умным домам"? Потому что непонятно, а кто это безобразие должен контролировать и как. Допустим сейчас вам нужно следить за роутерами, десктопами, смартфонами, телевизорами. Но с увеличением этого подключенного "умного" барахла растет и потребность в его контроле и обслуживании. А не то стиралка начнёт 3 Гб непонятного трафика в сутки прогонять, а гирлянда лозунги демонстрировать. В организациях такой бардак разгребают VM-щики, а у вас дома кто? Сами точно потянете? 🌝
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.
Уведомление: Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать | Александр В. Леонов
Уведомление: Домашний и Человеческий Vulnerability Management | Александр В. Леонов