Система управления SmartLink содержала бреши, позволяющие осуществить MITM-атаку.
Злоумышленники могли взломать осветительную систему рекламных щитов путем эксплуатации уязвимостей в мобильных приложениях поставщика услуг. К такому выводу пришел ИБ-эксперт Рэнди Вестергрен (Randy Westergren), проанализировав программу SmartLink для Android-устройств. SmartLink представляет собой популярную сотовую систему управления освещением рекламных щитов, разработанную компанией OutdoorLink, которая специализируется на инструментах контроля за потреблением электроэнергии.
Вестергрен обнаружил, что механизм аутентификации приложения было очень легко обойти, благодаря чему злоумышленник мог получить доступ к информации пользователей SmartLink. Кроме того, для передачи данных API использовал HTTP, что давало хакерам возможность осуществить атаку «человек посередине» и перехватить данные. В ходе анализа приложения оказалось, что в одной из доступных web-директорий содержались файлы с исходным кодом API и хранящимися в открытом виде учетными данными пользователей за последние шесть месяцев.
OutdoorLink была уведомлена об уязвимостях в конце июля нынешнего года и в течение нескольких месяцев исправила их. О проблеме с HTTP компании стало известно в августе, и в том же месяце были выпущены обновления для Android-приложения. Исправленная версия для iOS-устройств появилась только в начале ноября.
В Матрице безопасности выбор очевиден