Na bezpečnostní hrozbu v systémech dálkového ovládání dveří a garážových vrat od výrobce Nexx nedávno upozornil ve své analýze americký bezpečnostní technik.
Společnost Nexx patří na trhu výrobců zabezpečovacích systémů a jejich dálkového ovládání s pomocí ekosystému Nexx Home k méně známým společnostem. Přesto však může být díky objevu bezpečnostního analytika Sama Sabetana v ohrožení desetitisíce domácností, které produkty Nexx využívají.
Na mezeru v zabezpečení systému Nexx Home poukázal nezávislý bezpečnostní technik. Zdroj: Unsplash
Sabetan ve své podrobné zprávě zveřejněné na serveru Medium.com odhalil závažnou bezpečnostní trhlinu systému Nexx, díky které je možno veškerou ochranu domácnosti snadno obejít, a tím tak získat přístup například k otevírání garážových vrat či vypnutí alarmu. O to děsivější pak je, že se hackerem může stát prakticky každý uživatel aplikace Nexx Home.
Slabinou systému je mobilní aplikace
Pro komunikaci s ovládacím zařízením garážových vrat funguje Nexx Home na principu cloudového přenosu dat. Funguje-li vše správně, měl by systém generovat unikátní heslo pro každé jedno zařízení, k jehož kontrole má aplikace sloužit. Podle Sabetanova zjištění však Nexx Home generuje heslo univerzální, které tak lze při troše umu použít i na jiná vrata a alarmy než vaše vlastní.
Bezpečnostnímu technikovi se podařilo toto univerzální heslo odhalit, a jeho prostřednictvím se následně dostal přímo na server firmy Nexx, kde již měl přístup prakticky ke všem zařízením, která jsou pod správou společnosti. Toto heslo je přitom ne příliš dobře ukryto ve firmwaru, který případný zákazník obdrží po koupi libovolného zařízení.
Kromě přístupu jsou v ohrožení i osobní data
Během svého nevítaného pobytu na serveru Nexxu Sabetan dále odhalil stovky jiných komunikací, které cloudem proudily od ostatních uživatelů. V těchto zprávách byly viditelné například e-mailové adresy, jména či identifikační čísla konkrétních zařízení. Nebylo by tedy nijak náročné zvolit si konkrétní cíl, jehož bezpečnostní systém poté mohl být vyřazen z provozu.
Společnost se zdráhá poskytnout vyjádření
Firma Nexx na výzvy Sabetana či dalších agentur, se kterými na odhalení skuliny v zabezpečení jejich systému pracovat, nijak nereagovala. Vzhledem k tomu, že se nepodařilo odpověď získat ani přes oficiální zákaznickou podporu, ani přímým kontaktováním ředitele společnosti, rozhodl se Sabetan vyjít se svými závěry na veřejnost.
Ukázalo se, že společnost Nexx namísto unikátních hesel používala pouze jedno, univerzální pro všechna zařízení. Zdroj: Freepik
Ve své původní zprávě tak případné zákazníky a uživatele společnosti Nexx důrazně varuje a doporučuje její služby nadále nevyužívat. „Je velmi důležité, aby si spotřebitelé uvědomovali potenciální rizika spojená se zařízeními internetu věcí a požadovali od výrobců vyšší bezpečnostní standardy,“ tvrdí.
Potenciální únik dat není výstrahou pouze pro klienty společnosti Nexx, ale i pro uživatele konkurenčních zařízení, které mohou operovat na podobném principu zabezpečení. Vždy je tak dobré si dodavatele vašeho alarmu či garážových vrat patřičně prověřit, abyste pak při nejbližší příležitosti nebyli nepříjemně překvapeni.
