Критическая уязвимость в устройствах умного дома Shelly поставила под угрозу несанкционированного доступа более 5,2 миллиона европейских домов. Исследователи в области безопасности из Pen Test Partners обнаружили, что последнее поколение (Gen 4) устройств Shelly постоянно держит скрытую точку доступа Wi-Fi активной, даже после подключения к домашней сети. Эта лазейка позволяет любому находящемуся поблизости обойти меры безопасности, потенциально получив контроль над дверями, воротами и другими подключенными устройствами.
Скрытая Лазейка Объяснена
В отличие от более старых моделей Shelly, которые автоматически отключают временную точку доступа после настройки, устройства Gen 4 оставляют ее работающей неограниченно долго. Этот недостаток конструкции создает невидимый вход для хакеров, позволяя им использовать домашнюю сеть владельца без его ведома.
Последствия серьезны. Злоумышленник может использовать эту открытую точку доступа для взлома умных замков, открытия гаражных ворот или отключения систем безопасности — и все это без срабатывания сигнализации или оставления явных следов.
Расширенный Риск для Сети
Проблема выходит за рамки устройств Shelly. Одно скомпрометированное устройство Gen 4 может служить шлюзом для всей умной домашней сети, включая устройства других производителей. Многие европейские домохозяйства смешивают бренды умного дома, что делает их особенно уязвимыми. Проблема не в том, что один продукт дает сбой; речь идет о каскадных сбоях во взаимосвязанных системах.
Замедленная Реакция, Ответственность Пользователя
Pen Test Partners уведомили Shelly об уязвимости, в результате чего компания выпустила прошивку 1.8.0 в качестве исправления. Однако обновление требует ручной установки, и большинство пользователей не знают, что им нужно принять меры. По словам Кена Манро, основателя Pen Test Partners, Shelly медленно реагировала на проблему из-за опасений за репутацию.
Shelly утверждает, что их мобильное приложение помогает пользователям правильно защищать устройства, но это зависит от следования официальным процедурам настройки. Пользователи, настраивающие свои устройства вручную, получают предупреждения о необходимости защиты точки доступа. В будущем обновлении прошивки точка доступа будет автоматически отключаться после истечения времени ожидания, но до тех пор домовладельцам необходимо проявлять инициативу.
Растущая Тенденция Уязвимостей IoT
Это не единичный случай. Умные домашние устройства все чаще становятся целью хакеров, причем дверные звонки Amazon Ring и камеры безопасности Dahua были одними из последних жертв. Основная проблема заключается в спешке на рынок без приоритета базовых мер безопасности.
Производители часто собирают пользовательские данные для улучшения продуктов, но эта утечка данных может раскрыть поведенческие шаблоны, которые используют хакеры. Проблема не только в аппаратных недостатках; речь также идет о плохих методах управления данными.
«Мы видели подобные проблемы в солнечных инверторах и даже обнаружили аналогичную уязвимость в автомобиле более 10 лет назад». – Кен Манро, Pen Test Partners
Рост количества подключенных устройств означает больше точек атаки для злоумышленников. Пока производители не будут уделять приоритетное внимание безопасности по умолчанию, потребители останутся уязвимыми.
Главный вывод ясен: безопасность умного дома настолько сильна, насколько сильное его самое слабое звено. Пока компании не устранят эти фундаментальные недостатки, а потребители не примут упреждающие меры для защиты своих сетей, умные дома останутся главной целью для хакеров.
