В умном термостате Bosch BCC100 нашли уязвимость CVE-2023–49722, которая позволяет неаутентифицированному злоумышленнику подменить прошивку устройства на зловредную. Для этого злоумышленник должен находиться в одной Wi-Fi сети с устройством. Потенциально можно установить в такой термостат бэкдор, использовать для перехвата трафика, перемещаться с него на другие устройства и прочее. Всё потому, что на устройстве был открытый отладочный порт 8899, который забыли убрать. 🤷‍♂️

Почему я скептически отношусь к "умным домам"? Потому что непонятно, а кто это безобразие должен контролировать и как. Допустим сейчас вам нужно следить за роутерами, десктопами, смартфонами, телевизорами. Но с увеличением этого подключенного "умного" барахла растет и потребность в его контроле и обслуживании. А не то стиралка начнёт 3 Гб непонятного трафика в сутки прогонять, а гирлянда лозунги демонстрировать. В организациях такой бардак разгребают VM-щики, а у вас дома кто? Сами точно потянете? 🌝