Một lỗ hổng trong hệ thống kiểm soát cửa thông minh được sử dụng tại hàng nghìn nhà cho thuê ở Mỹ cho phép bất kỳ ai cũng có thể điều khiển từ xa khóa cửa của bất kỳ ngôi nhà nào bị xâm nhập. Tuy nhiên, Chirp Systems, công ty sản xuất hệ thống này, đã phớt lờ các yêu cầu khắc phục lỗ hổng.
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã công khai một cảnh báo bảo mật vào tuần trước, cho biết ứng dụng điện thoại do Chirp phát triển, được cư dân sử dụng thay thế chìa khóa để ra vào nhà, đã "lưu trữ không đúng cách" các thông tin đăng nhập được mã hóa cứng, có thể được sử dụng để điều khiển từ xa bất kỳ khóa thông minh nào tương thích với Chirp.
Các ứng dụng dựa vào mật khẩu được lưu trữ trong mã nguồn của nó, được gọi là thông tin đăng nhập được mã hóa cứng, là một rủi ro bảo mật vì bất kỳ ai cũng có thể trích xuất và sử dụng các thông tin đăng nhập đó để thực hiện các hành động giả mạo ứng dụng. Trong trường hợp này, thông tin đăng nhập có thể cho phép ai đó khóa hoặc mở khóa cửa được kết nối với Chirp từ xa qua internet.
Trong cảnh báo của mình, CISA cho biết việc khai thác thành công lỗ hổng này "có thể cho phép kẻ tấn công kiểm soát và có được quyền truy cập không giới hạn" vào khóa thông minh được kết nối với hệ thống nhà thông minh Chirp. Cơ quan an ninh mạng đã đánh giá mức độ nghiêm trọng của lỗ hổng là 9,1 trên 10 điểm tối đa do "mức độ phức tạp để thực hiện tấn công thấp" và khả năng khai thác lỗ hổng từ xa của nó.
Cơ quan an ninh mạng cho biết Chirp Systems đã không phản hồi CISA hoặc nhà nghiên cứu phát hiện lỗ hổng.
Nhà nghiên cứu bảo mật Matt Brown nói với nhà báo bảo mật kỳ cựu Brian Krebs rằng ông đã thông báo cho Chirp về vấn đề bảo mật vào tháng 3 năm 2021 nhưng lỗ hổng vẫn chưa được khắc phục.
Ngay sau khi công bố, Chirp cho biết trong một tuyên bố rằng họ "không tìm thấy bằng chứng nào cho các cáo buộc" trong cảnh báo. CISA đã cập nhật cảnh báo của mình để ghi nhận rằng Chirp đang "phát triển một bản vá để giải quyết các vấn đề."
Chirp Systems là một trong số ngày càng nhiều công ty trong lĩnh vực công nghệ bất động sản cung cấp giải pháp kiểm soát ra vào không cần chìa khóa, tích hợp với các công nghệ nhà thông minh cho các ông lớn trong ngành cho thuê bất động sản. Các công ty cho thuê ngày càng áp đặt người thuê lắp đặt các thiết bị nhà thông minh theo quy định của hợp đồng thuê nhà, nhưng trách nhiệm hoặc quyền sở hữu khi xảy ra vấn đề bảo mật vẫn không rõ ràng.
Ông lớn về bất động sản và cho thuê Camden Property Trust đã ký một thỏa thuận vào năm 2020 để triển khai khóa thông minh kết nối với Chirp cho hơn 50.000 căn hộ trên hơn một trăm tài sản. Hiện không rõ liệu các tài sản bị ảnh hưởng như Camden có biết về lỗ hổng này hay không hoặc đã có hành động khắc phục chưa. Kim Callahan, người phát ngôn của Camden, đã không trả lời yêu cầu bình luận.
Chirp đã được mua lại bởi gã khổng lồ về phần mềm quản lý tài sản RealPage vào năm 2020, và RealPage sau đó đã được công ty cổ phần tư nhân Thoma Bravo mua lại vào cuối năm đó với giá 10,2 tỷ USD. RealPage đang phải đối mặt với một số thách thức pháp lý liên quan đến cáo buộc phần mềm đặt giá thuê của họ sử dụng các thuật toán bí mật và độc quyền để giúp chủ nhà tăng giá thuê cao nhất có thể đối với người thuê.
Cho đến nay, cả RealPage và Thoma Bravo đều chưa thừa nhận lỗ hổng trong phần mềm mà họ mua lại, cũng không cho biết liệu họ có định thông báo cho cư dân bị ảnh hưởng về rủi ro bảo mật hay không.
Megan Frank, người phát ngôn của Thoma Bravo, cũng không trả lời yêu cầu bình luận.
Theo TechCrunch.