Zakład Systemów Bezpieczeństwa Informacji na tropie podatności
Naukowcy z NASK SCIENCE wchodzą do twojego domu!? Oczywiście nie tak naprawdę, ale troszczą się również o twoje bezpieczeństwo, badając inteligentne rozwiązania dla domu trafiające na rynek. Jedna z wad takiego urządzenia została niedawno przez nas wykryta i poprawiona przez producenta.
W trosce o bezpieczeństwo użytkowników rozwiązań Inteligentnego Domu Zakład Systemów Bezpieczeństwa Informacji stale monitoruje i wykrywa zagrożenia pojawiające się na rynku.
Pierwsza zgłoszona przez Jana Adamskiego w ramach projektu LaVA podatność o identyfikatorze CVE-2023-3612 (więcej informacji o podatności znajdziesz tutaj: https://www.cve.org/cverecord?id=CVE-2023-3612, została oficjalnie załatana przez producenta, co przyczyniło się do poprawy zabezpieczeń.
Podatność wykryto w aplikacji Govee Home, dedykowanej do obsługi urządzeń tej marki. Wada stanowiła znaczne zagrożenie dla użytkowników, umożliwiając potencjalnym atakującym przeprowadzenie wiarygodnych ataków typu phishing. Zagrożone były nie tylko dane użytkowników, ale także dostęp do ich urządzeń. Krytyczność podatności została sklasyfikowana jako wysoka z wynikiem CVSS równym 8.2 w 10-cio stopniowej skali, co świadczy o poważnym stopniu zagrożenia, które mogło wpływać na prywatność i bezpieczeństwo wielu użytkowników.
Wykrycie i szybka naprawa tego błędu jest kluczowym krokiem w utrzymaniu zaufania użytkowników do ekosystemów IoT.
Zakład ZSBI pozostaje aktywny w zakresie monitorowania bezpieczeństwa i podejmowania działań zapobiegawczych, aby chronić użytkowników rozwiązań IoT. Opublikował też bazę, w której można znaleźć informacje o podatnościach w urządzeniach Internetu Rzeczy: https://www.variotdbs.pl/.
Jeśli jesteś zainteresowany/a pracą przy podobnych projektach, weź udział w rekrutacji.