Vários complexos de apartamentos usando sistemas de interfone/entrada conectados à Internet ainda usam suas credenciais padrão, o que os torna totalmente acessíveis a qualquer pessoa experiente o suficiente para pesquisar no Google o manual de sua unidade. De fato, programador Eric Daigle Investiu -se facilmente em um sistema de gerenciamento de edifícios, permitindo que ele desbloqueie qualquer porta de apartamento remotamente. Daigle descobriu essa vulnerabilidade no Hirsch Enterphone Mesh IoT Security Systems, uma linha de produtos de terminais de acesso seguro para a construção de segurança usada amplamente no Canadá.
A Internet das Coisas se enraizou firmemente nos modernos sistemas de segurança de construção, incluindo complexos modernos de apartamentos que desejam usar algo mais seguro ou moderno do que as linhas telefônicas para regular o acesso a entradas seguras. No caso dos sistemas de malha fabricados pela Hirsch, um portal on-line monitores e registra todos os principais fob usados em um edifício e pode ser usado para acessar as portas trancadas remotamente.
Infelizmente, o mesmo site e seu login padrão estão prontamente disponíveis no manual de instruções do sistema, o que é trivial para encontrar com uma pesquisa no Google. Daigle, enquanto esperava em uma parada de ônibus, conseguiu pesquisar no Google o nome do produto de um terminal de segurança de apartamentos próximos, encontrar seu manual e determinar um meio de entrar no edifício em poucos minutos.
Manual do usuário de Hirsch e resposta oficial a TechCrunch Sugira que os usuários finais devem alterar as credenciais padrão de seus sistemas após a implantação. No entanto, sem instruções listadas no manual sobre como fazer isso, os usuários finais têm menos probabilidade de seguir esta etapa crucial de segurança, que tem sido a fonte de vulnerabilidades desde o início da segurança da Internet. Simplesmente pesquisando o nome da página de login do administrador usada para todos os sistemas de segurança Identiv/Hirsch e a entrada do login padrão oferece um bom agitação em entrar em qualquer sistema fabricado na Hirsch.
Uma vez dentro da página inicial do painel de segurança exposto à Internet, pode-se ver os nomes completos dos residentes, seus números de quarto e seus números de telefone. Apenas por diversão, você também pode encontrar um registro de vários anos de todas as principais atividades do FOB em todo o edifício, permitindo que agentes maliciosos encontrem padrões de entrada e saída para todos os membros de um complexo. Se essas informações não forem suficientes, pode -se desbloquear qualquer porta conectada pelo complexo do mesmo portal da web.
Através de uma rápida consulta do Zoomeye, Daigle razões que apenas 100 complexos de apartamentos usando o sistema Hirsch afetado são vulneráveis a essa exploração, com a maioria deles no Canadá. Hirsch, em respostas anteriores à mídia, esclareceu que não abordará essa vulnerabilidade de segurança, classificada 10/10 Crítico no banco de dados nacional de vulnerabilidades. A Hirsch insiste que está no usuário final alterar o login padrão do seu lado, sem fornecer detalhes sobre como fazê -lo em seu manual de instruções.
A Hirsch também declarou que não informará os usuários afetados sobre seus produtos da falha. As pessoas preocupadas nos locais de trabalho, escolas ou apartamentos usando um sistema de segurança de malha Hirsch (às vezes também rotulados como visconde ou entrada, dependendo do modelo) podem, portanto, procurar a construção de administradores para garantir que as credenciais padrão tenham sido alteradas em sua unidade. Graças à IoT, podemos seguir em frente das chaves físicas e, em vez disso, termos nossas casas remotamente acessíveis a qualquer pessoa com um telefone e a capacidade de pesquisar no Google.
