Tại sao nó quan trọng: Gần đây, một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trong hệ thống an ninh nhà thông minh phổ biến. Các kỹ sư đã nhanh chóng vá lỗ hổng, nhưng vấn đề vẫn có thể khiến người tiêu dùng cảm thấy mệt mỏi khi toàn bộ hệ thống bảo mật của họ được kiểm soát thông qua một ứng dụng di động.
Eaton là một công ty tập trung vào các sản phẩm và dịch vụ liên quan đến năng lượng và điện tử. Một trong những dịch vụ được sử dụng nhiều nhất của Eaton là Kết nối an toàn, một hệ thống bảo mật dựa trên đám mây với ứng dụng di động để điều khiển từ xa. Chương trình cho phép người dùng quản lý các tính năng bảo mật khác nhau, chẳng hạn như quản lý hệ thống hoặc vô hiệu hóa và kích hoạt báo động khi cần thiết.
Một tính năng độc đáo cho phép người dùng chỉ định tài khoản cho các nhóm từ ứng dụng. Chức năng này hữu ích cho những gia đình đến và đi vào những thời điểm khác nhau và cần tắt hệ thống an ninh vào những giờ khác nhau. Ví dụ: việc thêm con của một người vào nhóm gia đình cho phép chúng tắt báo thức và vào nhà sau giờ học mà không làm phiền Bố hoặc Mẹ tại nơi làm việc.
Thật không may, nhà nghiên cứu bảo mật Vangelis Stykas đã phát hiện một lỗ hổng nghiêm trọng trong tính năng nhóm của SecureConnect. Lỗi này cho phép kẻ tấn công tự chỉ định mình cho bất kỳ nhóm người dùng nào có thể, bao gồm cả nhóm “gốc” của công ty. Stykas tuyên bố thuộc nhóm này “được cấp quyền truy cập vào mọi thứ” được kết nối với dịch vụ đám mây SecureConnect.
Stykas đã khai thác ứng dụng SecureConnect bằng một cuộc tấn công được gọi là tham chiếu đối tượng trực tiếp không an toàn (IDOR). Sử dụng công cụ “trung gian”, chẳng hạn như Burp Suite, tin tặc có thể dễ dàng thay đổi số nhóm của họ thành bất cứ thứ gì họ muốn. Trong trường hợp này, Stykas đã chuyển tài khoản của mình sang nhóm 1, là nhóm gốc của Eaton. Những kẻ xấu khi truy cập vào nhóm gốc có thể thấy tên, địa điểm và các sản phẩm cụ thể đã đăng ký của người dùng khác. Tệ hơn nữa, về mặt lý thuyết, những kẻ không tặc có thể điều khiển từ xa hệ thống bảo mật của bất kỳ ai.
Eaton phát hành chứng khoán thông báo tuyên bố rằng nó đã tìm thấy lỗi trong logic ủy quyền truy cập nhóm của nó. Theo phát ngôn viên của Eaton, Jonathan Hart, công ty đã vá lỗ hổng vào tháng trước. Hart từ chối cho biết có bao nhiêu khách hàng sử dụng hệ thống bảo mật của Eaton, vì vậy việc ước tính số lượng người dùng bị ảnh hưởng là rất khó. Tuy nhiên, Stykas tuyên bố con số này ở mức “cao hàng chục nghìn”.
Eaton cũng xác nhận rằng lỗ hổng này là một sự kiện đơn lẻ, vì vậy rất may, Stykas là người dùng duy nhất đã phát hiện ra lỗ hổng. Kết quả có thể tồi tệ hơn nhiều nếu mũ đen tìm ra lỗi thay vì mũ trắng.