Любители стейков рискуют стать жертвами кибергурманов.
Специалисты компании Bishop Fox выявили несколько уязвимостей в Wi-Fi контроллере умного гриля Traeger Grill D2, позволяющем управлять приготовлением мяса и овощей удалённо с помощью мобильного устройства. Обнаруженные уязвимости могут представлять серьёзную угрозу безопасности пользователей.
Исследователи отметили следующие выявленные проблемы:
Недостаточный контроль авторизации в API, ответственном за регистрацию грилей, позволяют злоумышленникам управлять грилем другого пользователя. Атакующий может получить идентификатор гриля (48-битный код) и использовать его для регистрации гриля через API, что позволяет выполнять чувствительные операции, например, изменять температуру во время готовки.
Компания Traeger уже выпустила обновление прошивки для решения этой проблемы. Грили, подключенные к Интернету, автоматически получат последние обновления, поэтому пользователи могут быть уверены в безопасности своих устройств.
Также было обнаружено, что API GraphQL, используемое мобильным приложением, содержало операцию ListGrills, которая раскрывала атакующему информацию обо всех зарегистрированных грилях пользователей. Хотя для доступа к API требовался ключ API и токен AWS Cognito, это представляло ощутимый уровень риска для безопасности. В ответ на отчёт о данной уязвимости, компания Traeger полностью отключила операцию ListGrills.
Растущая популярность устройств Интернета вещей (IoT) делает необходимым проведение комплексных проверок безопасности для защиты подключенных устройств. А для повышения безопасности грилей Traeger Grill D2 специалисты Bishop Fox рекомендуют любителям барбекю всегда использовать физический выключатель питания для полного отключения грилей, когда они не используются.
Никаких овечек — только отборные научные факты