«Подключенный к интернету холодильник предназначен для показа информации из календаря Gmail», — рассказал представитель компании Pen Test Partners Кен Манро (Ken Munro). По его словам, календарь работает идентично любому подобному устройству и приложению, то есть система принимает пароль и систематически обновляет данные на дисплее.
Исследователи Pen Test Partners, занимающиеся вопросами безопасности, обнаружили уязвимость типа man-in-the-middle, которая позволила обойти защиту холодильника Samsung RF28HMELBSR в ходе соревнования по взлому устройств «интернета вещей» на конференции DEF CON. Хотя в холодильнике реализован криптографический протокол SSL, устройство не справляется с проверкой SSL-сертификатов, что позволило хакнуть гаджет.
Хотя SSL тут есть, холодильнику не удается проверить сертификат. Следовательно, хакеры, которым удалось получить доступ к сети, к которой подключен холодильник… [могут] украсть данные учетной записи Google.
Специалисты также проковырялись в возможности взломать прошивку холодильника и установить туда собственную сборку(!), но экспериментально доказать возможность взлома им не удалось. Правда, суть заключается в том, что взломщикам нужно подобрать правильную комбинацию слов и букв URL (например, модель холодильника или серийный номер — это стандартные шаблоны для многих компаний). Если им это удастся, то идея с подменой прошивки может сработать.
А вот «раздербанить» приложение для управления «умным» устройством Samsung им пока не удалось, но все еще впереди: «Мы пока что извлекаем пароль, который открывает хранилище ключа. Нам кажется, мы нашли пароль к сертификату в коде на стороне клиента». Правда, расшифровать его пока не удалось. Как отмечают специалисты, это дело времени.
Напомним, это не первый случай, когда экперты обнаруживают проблемы с «умной» техникой Samsung — ранее стало известно, что Smart TV компании передают данные пользователей в открытом виде.