Chirp 智能锁存在远程漏洞,数万家庭受到影响

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科Chirp 智能锁存在远程漏洞,数万家庭受到影响

美国网络安全和基础设施安全局(CISA)发布了一则警告,指出 Chirp Systems 智能锁存在一个“低攻击复杂性”的远程漏洞,攻击者可以远程解锁智能锁并物理渗透受保护的位置。

该漏洞是由 Chirp Android 应用程序硬编码密码和私钥造成的。这些数据可用于访问智能锁提供商 August 的 API,从而远程控制锁。据称,Chirp 系统已经拥有超过 50,000 个用户。

Chirp 的软件允许控制与 August 和 Yale 等公司的产品兼容的锁,后者是瑞典公司 Assa Abloy 旗下的产品。

根据 CVSS(通用漏洞评分系统)的评估,该漏洞 ID 为 CVE-2024-2197,严重程度评为 9.1 分(满分 10 分)。CISA 也因此发布了警告,指出 Chirp 尚未采取必要措施修复该漏洞。

这个问题是由 Amazon Web Services 的工程师 Matt Brown 发现的。他在家里安装了这种锁后开始研究 Chirp 应用程序。据他介绍,修复该漏洞并不困难,但由于某种原因,制造公司对此并没有表现出兴趣。

此外,Chirp 还提供 NFC 密钥作为应用程序的替代方案。但由于它以明文形式传输数据,因此无法免受远程攻击。为了能使用这把并不可靠的钥匙,Brown 不得不支付 50 美元。工程师建议拥有通过 Chirp 控制智能锁的人使用额外的机械锁来增强安全性。

最近几个月,与智能锁相关的漏洞变得相当多。例如德国宜必思连锁酒店的锁,在自助服务终端上使用六个破折号就能打开所有门;甚至更早之前,Saflock 锁也出现了漏洞,该锁可以使用廉价的 RFID 读卡器/写卡器轻松打开。


转自安全客,原文链接:https://www.anquanke.com/post/id/295702

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞7 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容