智能手机代替万能钥匙:Chirp 智能锁破坏了数万家庭的安全

阅读量40327

发布时间 : 2024-04-17 11:15:52

美国网络安全和基础设施安全局(CISA)发布警告称,Chirp Systems智能锁存在一个具有“低攻击复杂性”的远程漏洞,攻击者可以远程解锁智能锁并物理渗透受保护的位置。

 该漏洞是由于 Chirp Android应用程序具有硬编码密码和私钥而造成的。这些数据可用于访问智能锁提供商 August API,让您可以远程控制锁。 Chirp 声称他们的系统拥有超过 50,000 个用户。

 Chirp 的软件允许您控制与 August Yale 等公司的产品兼容的锁,后者由瑞典公司 Assa Abloy 拥有。

 CVSS 将漏洞 ID CVE-2024-2197 评为严重(9.1 分,满分 10 分)。美国网络安全和基础设施安全局(CISA)也 就此问题发出警告 ,指出Chirp尚未采取必要措施修复该漏洞。

 这个问题是由 Amazon Web Services 工程师 Matt Brown 发现的,他 在家里安装了这种锁后开始研究Chirp 应用程序。据他介绍,修复该漏洞并不困难,但由于某种原因,制造公司对此并没有表现出兴趣。

 此外,Chirp 还提供 NFC 密钥作为应用程序的替代方案,但它无法免受远程攻击,因为它以明文形式传输数据。布朗因使用这把不可靠的钥匙而不得不支付 50 美元。工程师建议通过 Chirp 控制的智能锁的所有者使用额外的机械锁来增强安全性。

 最近几个月,与智能锁相关的漏洞变得相当慷慨。因此, 我们最近谈到了 德国宜必思连锁酒店的锁的安全性漏洞,它允许您在自助服务终端上使用六个破折号来打开任何门;甚至更早之前, 我们曾写过 Saflock 锁的漏洞,该锁可以使用廉价的 RFID 读卡器/写入器轻松打开。

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/547516.php

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66