Cine este de vină, administratorii sau producătorul?
Pe scurt: Cercetătorul canadian de securitate Eric Daigle a descoperit recent o deficiență de securitate asociată cu panourile de control utilizate pentru a restricționa accesul la clădirile de apartamente din SUA și Canada. Pe scurt, unii operatori nu s -au deranjat niciodată să schimbe parola implicită a sistemului, ceea ce face ușor să obțină acces, vizualizează jurnalele de activitate și multe altele.
Daigle a început să sape în sistem la sfârșitul anului trecut, după ce a observat un panou de control al accesului interesant în timp ce a ieșit și aproximativ o zi. O căutare rapidă pe Google pentru „Mesh by Viscount” a dus la o pagină de vânzări care publicită capacități de acces la distanță, iar o altă căutare a prezentat un ghid de instalare .PDF.
Așa cum este oarecum comun, sistemul se livrează cu o parolă implicită pe care administratorii sunt încurajați să o schimbe (totuși, în conformitate cu Daigle, manualul nu explică cum să facă acest lucru). Căutarea titlului paginii de autentificare a UI a ieșit la suprafață de conectare și a fost capabil să se conecteze la primul folosind acreditările implicite. Acesta nu este un semn bun.
Odată intrat în sistem, Daigle a avut puterea de a debloca orice intrare, de a înregistra noi fob -uri cheie sau de a șterge cele existente, de a schimba podeaua pentru care sunt autorizați și multe altele. De asemenea, a avut acces la un jurnal de mai mulți ani care arată toate activitățile FOB, precum și numele complete ale rezidenților, numerele de unități și numerele de telefon. Nici nu este nevoie de prea multe lucruri pentru a prelua comportamentul rezidenților. De exemplu, puteți stabili cu ușurință că John Doe pleacă la muncă la 8 dimineața și ajunge acasă în jurul orei 18:00 de luni până vineri.
În total, Daigle a găsit 89 de sisteme expuse utilizate de clădirile de apartamente. Cei mai mulți dintre ei – 71 – au fost în Canada, restul fiind în SUA.
Cercetătorul a adresat vânzătorului sistemului, care a spus că administratorii nu urmează recomandările producătorilor de a schimba parola implicită. Problema a fost desemnată CVE-2025-26793, cu un scor critic de severitate de 10. Un manager de produse senior a declarat pentru TechCrunch că a adresat clienților despre urmarea manualului de instrucțiuni.
