Устройства не проверяют подлинность SSL-сертификатов, что делает возможным атаку «человек посередине».
Исследователи из Pen Test Partners обнаружили уязвимость в программном обеспечении «умных» холодильников производства Samsung, позволяющую осуществить атаку «человек посередине» и похитить учетные данные пользователей почтового сервиса Gmail. Брешь затрагивает модель холодильников RF28HMELBSR из линейки устройств для «умного» дома, которыми можно управлять через приложение Smart Home.
Несмотря на то, что холодильники поддерживают SSL, они не проверяют подлинность SSL-сертификатов, что делает возможным атаку «человек посередине» на большинство соединений. Подключенные к интернету устройства загружают из Gmail Calendar информацию для отображения на дисплее. Как выяснили исследователи, этим могут воспользоваться злоумышленники, которым удастся проникнуть в эту сеть для похищения учетных данных.
По словам экспертов из Pen Test Partners, «умные» холодильники от Samsung работают по тому же принципу, что и остальные устройства, поддерживающие Gmail Calendar. Авторизованный пользователь (владелец календаря) вносит в него изменения, которые затем видны на любом из его устройств. Злоумышленник может осуществить атаку деаутентификации, а затем атаку «человек посередине» на календарь и похитить, к примеру, учетные данные своих соседей.
Гравитация научных фактов сильнее, чем вы думаете