Threatpost: <집을 위험에 노출시키는 IoT 스마트 데드볼트(도어락) 취약점>

세 줄 요약

1. 연구자들은 안드로이드 및 iOS 모바일 앱을 통해 원격으로 도어락 비밀번호를 입력하여 문을 열고 잠글 수 있는 유명 스마트 도어락에서 피해자의 휴대전화에 접근만 한다면 도어락 잠금을 풀 수 있는 취약점을 발견함

2. 발견된 총 여섯 개의 취약점은 안전하지 않은 애플리케이션 저장소와 부적절한 API 접근 제어부터 평문 암호 통신까지 포함이 되어있으며, 이 중 두 개의 취약점은 도어락 잠금을 제어하는 중요 데이터를 암호화 하지않고 데이터베이스에 저장하는 점에서 기인하였고, 또 다른 하나는 안드로이드 기기에 저장되는 모든 인터넷 API 통신 및 도어락과의 직접적인 통신 관련 디버깅 로그가 안드로이드 앱에서 접근 가능하다는 점에서 기인하였음

3. 취약점이 발견된 유명 도어락의 벤더사는 취약점에 대한 패치나 대응 방안을 내놓고 있지 않으며, 연구자는 패치가 될 때까지 위험을 방지하기 위해 휴대 전화 잠금을 철저히하고 도어락 비밀번호를 타인과 공유하지 않을 것을 권장함

 

관련 기사 1.

Threatpost: <스마트하지 않은 스마트 도어락>

링크: https://threatpost.com/smart-lock-turns-out-to-be-not-so-smart-or-secure/146091/

Smart Lock Turns Out to be Not So Smart, or Secure

 

관련 기사 2.

Threatpost: <"깨지지 않는" 스마트 도어락 Tapplock의 주요 보안 패치>

링크: https://threatpost.com/unbreakable-smart-lock-tapplock-issues-critical-security-patch/132918/

“Unbreakable” Smart Lock Tapplock Issues Critical Security Patch

 

기사 원문

링크: https://threatpost.com/unpatched-flaws-in-iot-smart-deadbolt-open-homes-to-danger/146871/

Unpatched Flaws in IoT Smart Deadbolt Open Homes to Danger