— Добрый день, господин директор! Чем обязан?

— У нас есть проблема. Нам нужно проникнуть в дом известного наркодельца, чтобы установить там аппаратуру. Но проблема в том, что это «умный» дом со специальными замками, которые мы пока вскрыть не можем, а ломать, сами понимаете, нам нельзя. Нужно сделать так, как будто нас там не было.

— Понимаю. А что вы можете сказать нам о жителях этого дома? У кого из них есть ключи?

— В доме живет сам дон Ансельмо, его жена и сын. Прислуга приходящая. Охранник. Но ни у охранника, ни у прислуги ключей от дома нет.

— Ну, охранник — это ваша забота.

— Безусловно.

— Чем открывается дом?

— Приложением со смартфона.

— Как часто жена выезжает в город? Бывает ли она в женских спа-салонах?

— Да. Еженедельно. Проводит на процедурах от часа до двух. А что?

— Нам потребуется хороший карманник. Женщина. У вас есть такие?

— Безусловно. Но для чего? Цель?

— Нам нужен смартфон супруги дона Ансельмо. На полчаса. Потом его нужно незаметно вернуть на место. Сможете?

— Легко. Что еще?

— Да больше, скорее всего, ничего.

Прошла неделя.

— Господин директор, вот вам ключи от дома. Кроме того, здесь же ключи от сигнализации, гаража, главных ворот и запасных ворот, отсюда же вы можете управлять освещением и много еще чем, мы сами до конца пока не понимаем. Но главное — вас нет и не было в доме.

— Как?

— Господин директор, мы ж не спрашиваем, как работает ваш карманник, верно?

— А если серьезно, чтобы самим так не впутаться?

— А если серьезно, я уже запретил в своем ведомстве «умные» замки и «умные» дома для всех сотрудников. В крайнем случае можно использовать лишь те, которые одобрены нашим департаментом и то с использованием регулярной проверки. Мы проанализировали, какой именно контроллер управления стоит в этом доме. И выяснили, что приложение хранит данные конфигурации в незашифрованном виде. Потом при помощи вашего специалиста получили смартфон в свои руки и дублировали эти данные. Мало того, сгенерировали свои ключи.

— Да, но разве при этом старые ключи не затираются?

— Увы, нет. Они остаются рабочими. Так что даже если и выяснится, что кто-то входил, то неясно кто. Скорее всего решат, что это тестовые ключи компании.

— Никогда не буду пользоваться «умным» домом.

— Ну… Никогда это слишком долго. Но пока не пользуйтесь!

Увы, такая история — не фантастика. Исследователи безопасности из компании Rapid7 проанализировали Android-приложения для управления IoT-устройствами Wink Hub 2 и Insteon Hub. В ходе исследования было выявлено, что оба приложения хранят конфиденциальные учетные данные в файлах конфигурации в незашифрованном виде. Данные приложений могут быть легко извлечены из утерянных или украденных телефонов, не имеющих сильной парольной защиты или не использующих шифрование. По словам исследователей из Rapid7, для этого не требуются особые навыки — только Google и 45 минут времени