ABD’deki binlerce kiralık evde kullanılan akıllı erişim kontrol sistemindeki bir güvenlik açığı, herkesin etkilenen evdeki herhangi bir kilidi uzaktan kontrol etmesine olanak tanıyor. Ancak sistemi üreten şirket Chirp Systems, kusurun düzeltilmesi yönündeki talepleri görmezden geldi.
ABD siber güvenlik kurumu CISA gitti geçen hafta bir güvenlik tavsiyesi ile halka açık Chirp tarafından geliştirilen ve sakinlerin evlerine erişmek için anahtar yerine kullandıkları telefon uygulamalarının, Chirp uyumlu herhangi bir akıllı kilidi uzaktan kontrol etmek için kullanılabilecek sabit kodlu kimlik bilgilerini “uygunsuz şekilde sakladığını” söylüyor.
Kaynak kodunda saklanan ve sabit kodlama kimlik bilgileri olarak bilinen şifrelere dayanan uygulamalar, herhangi birinin bu kimlik bilgilerini çıkarıp uygulamanın kimliğine bürünen eylemler gerçekleştirmek için kullanabileceği bir güvenlik riskidir. Bu durumda, kimlik bilgileri herkesin Chirp’e bağlı bir kapı kilidini internet üzerinden uzaktan kilitlemesine veya kilidini açmasına izin verdi.
CISA, tavsiye niteliğindeki açıklamasında, kusurun başarılı bir şekilde kullanılmasının, bir saldırganın Chirp akıllı ev sistemine bağlı akıllı kilitlere kontrolü ele geçirmesine ve sınırsız fiziksel erişim elde etmesine izin verebileceğini söyledi. Siber güvenlik kurumu, “düşük saldırı karmaşıklığı” ve uzaktan istismar edilebilme yeteneği nedeniyle güvenlik açığı ciddiyet puanını maksimum 10 üzerinden 9,1 olarak verdi.
Siber güvenlik kurumu, Chirp Systems’in ne CISA’ya ne de güvenlik açığını bulan araştırmacıya yanıt vermediğini söyledi.
Güvenlik araştırmacısı Matt Brown şunları söyledi: kıdemli güvenlik gazetecisi Brian Krebs Chirp’e Mart 2021’de güvenlik sorununu bildirdiğini ancak güvenlik açığının düzeltilmediğini söyledi.
Chirp Systems, kiralama devlerine akıllı ev teknolojileriyle entegre olan anahtarsız erişim kontrolleri sağlayan, emlak teknolojisi alanında sayıları giderek artan şirketlerden biridir. Kiralama şirketleri, kiracıları, kira sözleşmelerinin gerektirdiği şekilde akıllı ev ekipmanlarının kurulumuna izin vermeye giderek daha fazla zorluyor, ancak güvenlik sorunları ortaya çıktığında sorumluluğu veya mülkiyeti kimin üstleneceği en iyi ihtimalle belirsizdir.
Emlak ve kiralama devi Camden Property Trust, 2020 yılında Chirp bağlantılı akıllı kilitlerin kullanıma sunulması için bir anlaşma imzaladı. yüzden fazla mülkte 50.000’den fazla ünite. Camden gibi etkilenen mülklerin bu güvenlik açığından haberdar olup olmadığı veya harekete geçip geçmediği belli değil. Camden’ın sözcüsü Kim Callahan yorum talebine yanıt vermedi.
Chirp, 2020 yılında mülk yönetimi yazılımı devi RealPage tarafından satın alındı ve RealPage, özel sermaye devi Thoma Bravo tarafından satın alındı. o yılın sonlarında 10,2 milyar dolarlık bir anlaşmayla. RealPage karşı karşıya çeşitli yasal zorluklar İddialar üzerine kira belirleme yazılımı, ev sahiplerinin kiracılar için mümkün olan en yüksek kirayı artırmasına yardımcı olmak için gizli ve özel algoritmalar kullanıyor.
Ne RealPage ne de Thoma Bravo, edindikleri yazılımdaki güvenlik açıklarını henüz kabul etmedi veya etkilenen sakinleri güvenlik riski konusunda bilgilendirmeyi planlayıp planlamadıklarını söylemedi.
RealPage sözcüsü Jennifer Bowcock, TechCrunch’tan gelen yorum taleplerine yanıt vermedi. Thoma Bravo’nun sözcüsü Megan Frank da yorum taleplerine yanıt vermedi.