Corrigida a falha de segurança do bloqueio inteligente do Kwikset Halo – eis o que você precisa fazer
[ad_1]
O bloqueio inteligente Kwikset Halo tinha uma falha em seu aplicativo complementar para Android que poderia permitir que outro aplicativo no telefone capturasse credenciais de login para os servidores do Kwikset e, em seguida, usasse essas informações para obter o controle do bloqueio inteligente.
Essa falha foi encontrada por pesquisadores da Bitdefender (abre em nova aba)que notificou o Kwikset em 9 de novembro de 2021. O Kwikset corrigiu a falha com uma atualização do aplicativo Android em 16 de dezembro de 2021.
Se você for proprietário ou usuário de um bloqueio inteligente do Kwikset Halo, certifique-se de que seu aplicativo Android esteja atualizado para a versão 1.2.11. O aplicativo iOS do Kwikset não parecia ser vulnerável a essa falha, disseram pesquisadores da Bitdefender ao Tom’s Information.
Alcançando a nuvem
A falha tinha a ver com o acesso aos servidores em nuvem do Kwikset na Amazon Internet Products and services, explicou um relatório da Bitdefender divulgado hoje (6 de abril). As credenciais para acessar os servidores podem ser lidas por outros aplicativos instalados no mesmo dispositivo Android, descobriram os pesquisadores da Bitdefender usando o Drozer (abre em nova aba) ferramenta de verificação de segurança do aplicativo.
O processo não foi tão fácil. O aplicativo malicioso teria que criar hyperlinks de ponteiro que enganaram o aplicativo Kwikset para exportar as credenciais da AWS de um arquivo protegido para um arquivo desprotegido, onde o aplicativo malicioso poderia lê-las.
Claro, o aplicativo malicioso teria que ser instalado pelo usuário no telefone em primeiro lugar, mas isso não é tão difícil quando centenas de aplicativos Android aparentemente inofensivos, mas realmente maliciosos, são encontrados na loja de aplicativos Google Play todos os anos.
A boa notícia é que o aplicativo Android Kwikset Halo technology bastante bom. O cadeado em si – que está na nossa lista dos melhores cadeados inteligentes – não tinha falhas de segurança que a equipe do Bitdefender pudesse encontrar, nem as comunicações entre o cadeado e o smartphone emparelhado.
A equipe do Bitdefender não foi capaz de usar um ataque “guy within the center” na fechadura, não conseguiu quebrar a criptografia da fechadura, não conseguiu adulterar atualizações de firmware e não conseguiu roubar a senha do usuário da conta Kwikset , graças à autenticação de dois fatores ativada por padrão.
“A conexão não pode ser interceptada com um ataque man-in-the-middle, pois o bloqueio inteligente verifica a validade do certificado do servidor”, disseram os pesquisadores da Bitdefender em seu artigo. “Um invasor não pode representar a câmera para o servidor, pois não tem conhecimento do certificado do cliente armazenado na memória do dispositivo.”
[ad_2]