Популярные в США электронные замки Chirp оказались подвержены удалённому взлому

В США обнаружили серьёзную уязвимость в Android-приложении достаточно популярных электронных замков Chirp, которыми пользуется как минимум 50 тысяч семей. Оказалось, что в прикладном программном обеспечении Chirp Systems для управления электронными замками наличествует брешь, из-за которой эти замки можно взломать удалённо.

На уязвимость обратило внимание даже Агентство по кибербезопасности и инфраструктурной безопасности правительства США (CISA), которое недавно потребовало от Chirp обновить приложение для Android, «чтобы повысить его стабильность и безопасность».

Уязвимости был присвоен балл серьёзности CVSS 9,1 из 10 — крайне высокая. Оказалось, что с помощью API в Android-версии приложения для управления замками можно «притвориться» разработчиком и, используя довольно простой рабочий процесс для загрузки и декомпиляции APK-приложений, получить единый файл, в котором разработчики Chirp хранят пароли и строки закрытых ключей.

Уточняется, что Chirp — ПО, используемое для управления «умными» совместимыми замками, которые можно купить у таких продавцов, как August, — одного из крупнейших производителей электроники для «умного» дома, принадлежащего материнскому предприятию, шведской компании Assa Abloy.