Bir güvenlik araştırmacısı, yaygın olarak kullanılan bir kapı erişim kontrol sisteminde gönderilen varsayılan şifrenin, ABD ve Kanada’daki düzinelerce binada herkesin kapı kilitlerine ve asansör kontrollerine kolayca ve uzaktan erişmesine izin verdiğini söylüyor.
Şu anda Enterphone örgü kapısı erişim sistemine sahip olan şirket olan Hirsch, hatanın tasarım gereği olduğunu ve müşterilerin şirketin kurulum talimatlarını izlemesi ve varsayılan şifreyi değiştirmesi gerektiğini söyleyerek güvenlik açığını düzeltmeyecek.
Bu, Kuzey Amerika’da erişim kontrol sisteminin varsayılan şifresini henüz değiştirmemiş olan düzinelerce maruz kalan konut ve ofis binasını bırakır veya yapmaları gerektiğinden habersizdir, Eric Daigle’ye göredüzinelerce maruz kalan binayı kim buldu.
Varsayılan şifreler nadir değildir veya internete bağlı cihazlarda mutlaka bir sır değildir; Ürünlerle gönderilen şifreler genellikle müşteri için giriş erişimini basitleştirmek için tasarlanmıştır ve genellikle talimat kılavuzlarında bulunur. Ancak gelecekteki kötü niyetli erişimi önlemek için varsayılan bir şifreyi değiştirmek için bir müşteriye güvenmek Hala bir güvenlik açığı olarak sınıflandırıyor ürünün içinde.
Hirsch’in kapı giriş ürünleri durumunda, sistemi yükleyen müşterilere varsayılan şifreyi değiştirmeleri istenmez veya gereklidir.
Bu nedenle, Daigle, resmi olarak olarak belirlenen güvenlik hatasının keşfi ile kredilendirildi. CVE-2025-26793.
Planlı Düzeltme Yok
Varsayılan şifreler, internete bağlı cihazlar için uzun zamandır bir sorun olmuştur, kötü amaçlı bilgisayar korsanlarının parolaları, hak sahibi gibi oturum açmak için kullanmalarına olanak tanır ve siber saldırıları başlatmak için bant genişliklerini kullanmak için cihazları ele geçirir. Son yıllarda, hükümetler teknoloji üreticilerini sundukları güvenlik riskleri göz önüne alındığında güvensiz varsayılan şifreleri kullanmaktan uzaklaştırmaya çalıştılar.
Hirsch’in kapı giriş sistemi söz konusu olduğunda, hata, güvenlik açığı şiddeti ölçeğinde 10 üzerinden 10 olarak derecelendirilir, herkesin onu kullanma kolaylığı sayesinde. Pratik olarak konuşursak, hatayı kullanmak, Hirsch’in web sitesindeki sistemin kurulum kılavuzundan varsayılan şifreyi almak ve etkilenen herhangi bir binanın sistemindeki internete bakan oturum açma sayfasına takılmak kadar basittir.
İçinde Bir blog yazısıDaigle, memleketi Vancouver’daki bir binada Hirsch yapımı enterfone örgü kapısı giriş panellerinden birini keşfettikten sonra geçen yıl güvenlik açığını bulduğunu söyledi. Daigle, İnternet’e bağlı enterphone örgü sistemlerini aramak için İnternet tarama sitesi Zoomeye kullandı ve hala varsayılan olarak gönderilen kimlik bilgilerine dayanan 71 sistem buldu.
Daigle, varsayılan şifrenin, bina yöneticilerinin asansörlere, ortak alanlara, ofis ve konut kapı kilitlerine erişimi yönetmek için kullandığı Mesh’in Web tabanlı arka uç sistemine erişmesine izin verdiğini söyledi. Her sistem, örgü sistemi kurulu ile binanın fiziksel adresini görüntüler ve giriş yapan herkesin hangi binaya eriştiklerini bilmesini sağlar.
Daigle, herhangi bir dikkat çekmeden düzinelerce etkilenen binadan herhangi birine etkili bir şekilde girmenin mümkün olduğunu söyledi.
TechCrunch müdahale etti çünkü Hirsch, Daigle gibi halk üyelerinin şirkete bir güvenlik kusuru bildirmeleri için bir güvenlik açığı açıklama sayfası gibi araçlara sahip değil.
Hirsch CEO’su Mark Allen, TechCrunch’ın yorum talebine yanıt vermedi, bunun yerine TechCrunch’ın şirketin varsayılan şifreleri kullanmasının “modası geçmiş” (nasıl olduğunu söylemeden) olduğunu söyleyen kıdemli bir Hirsch ürün yöneticisine ertelendi. Ürün yöneticisi, Hirsch’in kendi kurulum talimatlarına atıfta bulunarak, “yüklü sistemler ve üreticilerin önerilerini takip etmeyen” müşterilerin olduğu “eşit derecede ilgili” olduğunu söyledi.
Hirsch, hata ile ilgili ayrıntıları halka açık bir şekilde ifşa etmeyi taahhüt etmeyecek, ancak ürünün öğretim kılavuzunu takip etme konusunda müşterileriyle temasa geçtiğini söyledi.
Hirsch, hatayı düzeltmek istemediğinde, bazı binalar – ve sakinleri – maruz kalacak. Hata, yıl sonra gerçek dünya sonuçlarına sahip olmak için geri gelebileceğini gösteriyor.
