Уязвимость в AsusWRT позволяет посторонним получать доступ к подключенным к сети устройствам.
Специалисты vpnMentor обнаружили уязвимость в ПО AsusWRT, позволяющую злоумышленникам получить доступ к сети Wi-Fi жертвы и подключенным к ним смарт-устройствам наподобие Amazon Alexa.
AsusWRT – графический web-интерфейс, позволяющий настраивать приватные сети Wi-Fi. Приложение выполняет роль централизованной точки доступа для подключенных к интернету устройств, в том числе телефонов, планшетов, ноутбуков и других «умных» гаджетов.
Проэксплуатировав уязвимость, исследователи смогли перехватить IP-адреса, имена пользователей, имена устройств, информацию об использовании, команд IFTTT, географические координаты (широта и долгота), а также данные о стране и городе. Как отметили исследователи, персонально идентифицируемая информация видна не была. Тем не менее, сопоставив все данные, злоумышленник может выяснить физический адрес жертвы, и в итоге установить ее личность.
Поскольку уязвимость позволяет получить контроль над незащищенными устройствами в сети AsusWRT, существует риск ограблений и мошенничества. Злоумышленники могут отслеживать перемещения пользователей и узнавать, когда они отсутствуют дома. Если жертва использует смарт-замки, грабители могут открывать их с помощью Amazon Alexa, подключенной к сети AsusWRT.
По словам специалистов vpnMentor, уязвимость была обнаружена раньше другими исследователями, но они не уведомили о ней компанию Asus. Эксплуатировалась ли уязвимость в реальных атаках, неизвестно. На данный момент уязвимость уже закрыта.
Спойлер: она начинается с подписки на наш канал