Blog

Сверчки из систем Chirp в утечке ключей Smart Lock – Кребс о безопасности

Правительство США предупреждает, что «умные замки», обеспечивающие доступ примерно в 50 000 жилищ по всей стране, содержат жестко запрограммированные учетные данные, которые можно использовать для удаленного открытия любого из замков.Производитель замка Chirp Systems по-прежнему не отвечает, хотя впервые он был уведомлен о критической уязвимости в марте 2021 года. Между тем, на материнскую компанию Chirp, RealPage, Inc., подали в суд несколько штатов США за предполагаемый сговор с арендодателями с целью незаконного повышения арендной платы.

«Chirp Access неправильно хранит учетные данные в своем исходном коде, потенциально подвергая конфиденциальную информацию несанкционированному доступу», — предупреждает CISA, присвоив ошибке рейтинг CVSS (плохость) 9,1 (из 10 возможных).«Chirp Systems не ответила на запросы о сотрудничестве с CISA для устранения этой уязвимости». Умный тупик

Сверчки из систем Chirp в утечке ключей Smart Lock – Кребс о безопасности

Мэтт Браун, исследователь CISA, сообщивший об ошибке, является старшим инженером по разработке систем в Amazon Web Services.Браун сказал, что обнаружил слабость и сообщил об этом Chirp в марте 2021 года, после того как компания, управляющая его многоквартирным домом, начала использовать интеллектуальные замки Chirp и посоветовала всем установить приложение Chirp, чтобы входить и выходить из своих квартир.

Обновление от 25 апреля, 14:45 по восточному времени: на основе отзывов Chirp CISA понизила серьезность этой уязвимости и пересмотрела свои рекомендации по безопасности, заявив, что жестко закодированные учетные данные, похоже, не подвергают устройства удаленной блокировке или разблокировке. .CISA заявляет, что злоумышленник может использовать жестко закодированные учетные данные в радиусе действия Bluetooth (~30 метров) «для изменения настроек конфигурации маяка Bluetooth, что фактически лишит устройство видимости Bluetooth.Это не влияет на способность устройства блокировать или разблокировать точки доступа, и неавторизованные пользователи по-прежнему могут управлять точками доступа удаленно с помощью других средств».

Браун рассказал, что когда он пожаловался в свой лизинговый офис, ему продали небольшой брелок за 50 долларов, который использует технологию Near Field Communications (NFC) для переключения замка, когда он подносит брелок близко к входной двери.Но он сказал, что брелок не лишает кого-либо возможности удаленно отпереть входную дверь, используя открытые учетные данные и мобильное приложение Chirp.

Ни August, ни Chirp Systems не ответили на запросы о комментариях.Неясно, сколько именно квартир и других жилых домов используют уязвимые замки Chirp, но во многих статьях о компании за 2020 год говорится, что примерно 50 000 квартир используют интеллектуальные замки Chirp с августовским API.

Примерно за год до того, как Браун сообщил об уязвимости Chirp Systems, компанию купила RealPage, фирма, основанная в 1998 году как разработчик программного обеспечения для управления многоквартирной недвижимостью и анализа данных.В 2021 году RealPage была приобретена гигантом прямых инвестиций Thoma Bravo.

Я вижу, что в этой статье есть изображение умного замка Yale.Знаем ли мы, были ли какие-либо доказательства того, что этот вопиющий надзор за безопасностью проявился в продуктах контроля замков Yale или Assa Abloy?

Если вы читаете веб-сайт Chirp Systems, они рассказывают о своем продукте, работающем с интеллектуальными замками Yale, и эта фотография взята с сайта Chirp.например:

С august.com/pages/connected-by-august: «Для более безопасной и умной входной двери Yale Assure Locks теперь работает с приложением August!Модуль Connected by August позволит вам блокировать/разблокировать, делиться доступом и видеть, кто приходит и уходит, из вашего августовского приложения.Сменные замки и комплекты Connected by August поставляются с мостом August Connect Wi-Fi, поэтому вы сможете делать все это где угодно.Кроме того, вы можете управлять своим замком с помощью голосовых помощников, включая Amazon Alexa, Google Assistant и Siri!»

Yale и August принадлежат Assa Abloy, Inc. Chirp заключила партнерское соглашение с Assa Abloy, поставив замки от Yale Residential и технологию Bluetooth, разработанную August Home.

Вот почему я в замешательстве.в этой статье упоминается, что резиденту продаются учетные данные (жесткие), которые используют NFC в качестве альтернативы, однако после использования этих замков August/Yale с Air BNB они поддерживают только WIFI/ZigBee/zwave/Bluetooth.Может кто-нибудь помочь прояснить, выдумана ли вся эта история, поскольку эти замки даже не принимают брелоки/карты.

Это неверно, замки Yale поддерживают Apple HomeKey, который использует NFC.Йельский университет уже много лет поддерживает NFC в своих замках –

https://www.wired.com/2011/09/yale-lock-opens-doors-with-nfc-phones/ https://www.theverge.com/23367464/yale-assure-lock-2-touchscreen- клавиатура-Wi-Fi-обзор

«Недавно нам стало известно о раскрытии уязвимости в системах контроля доступа, предоставленных Chirp, с использованием замков August и Yale в многоквартирных домах.Эти отчеты не влияют на частных клиентов августа или Йельского университета, а также на приложение Yale Access.

1efbb8f0-d89d-ffe0-3420-a3f2b203e1a6 https://api-production.august.com/ G3tCh1rp https://www.realpage.com/privacy-policy/ https://www.chirpsystems.com/terms-of- используйте https://www.chirpsystems.com/user-guide res.cloudinary.com TKZMlZn5kpz1T5/e8S98oykAmga2R2MA4iOy7QPbckc=

Интересный.Я не знаю, существовал ли https://www.chirpsystems.com/terms-of-use, когда это было опубликовано, но сейчас это 404.Условия использования Chirps теперь перенаправляются сюда;https://www.realpage.com/sbserviceterms/

Assa Abloy больше не владеет Yale Locks или August, теперь они принадлежат Fortune Brands.Мне не удалось найти никаких упоминаний об этой уязвимости.

https://ir.fbin.com/news-releases/news-release-details/fortune-brands-completes-acquisition-emtek-and-schaub-premium

20 июня 2023 г. · Fortune Brands завершает приобретение премиальных брендов оборудования Emtek и Schaub, а также американских и канадских брендов Yale и August Residential Smart Lock.

Брайан, вы видели последние новости CISA об этой уязвимости: https://www.cisa.gov/news-events/ics-advisories/icsa-24-067-01 Они, очевидно, приняли ответ Chirp Systems (см. здесь https). ://statement.chirpsystems.com/chirp-systems-icsa-24-067-01-response.html), по сути говоря, что то, о чем сообщил Мэтт Браун, не существует в их системе.