Уразливість в металодетекторах дозволяла віддалено ними керувати

Дослідники виявили загалом дев’ять уразливостей програмного забезпечення у широко використовуваних металодетекторах. Дослідження показує, що у разі використання вразливості в системі безпеки, хакер може відключити детектори, прочитати або змінити дані або просто порушити їхню функціональність.

Розглянутий продукт виробляється відомим виробником металошукачів у США – Garrett. Він продає свою продукцію школам, судам, в’язницям, аеропортам, спортивним та розважальним об’єктам, а також урядовим установам. Іншими словами, їхня продукція є практично скрізь.

На жаль, за словами дослідників з Cisco Talos, модуль iC Garrett, що широко використовується, перебуває в скрутному становищі. Продукт, який забезпечує мережне підключення до двох популярних прохідних детекторів компанії (Garrett PD 6500i та Garrett MZ 6100), в основному діє як центр керування для людини-оператора детектора: за допомогою ноутбука або іншого інтерфейсу, оператор може використовувати модуль для віддаленого керування детектором, а також для участі в моніторингу та діагностиці в реальному часі.

Дослідники Talos заявили, що вразливості в iC, які офіційно відстежуються як набір CVE, можуть дозволити комусь зламати певні металошукачі, відключити їх, виконати довільний код тощо.

Зловмисник може маніпулювати цим модулем, щоб віддалено відслідковувати статистику щодо металошукача. Наприклад, чи спрацювала тривога або скільки відвідувачів пройшло. Хакери також можуть вносити зміни в конфігурацію. Наприклад, змінювати рівень чутливості пристрою, що потенційно становить загрозу безпеці для користувачів, які покладаються на ці металошукачі.

На щастя Talos каже, що користувачі можуть зменшити недоліки безпеки у металодетекторах, оновивши свої модулі iC до останньої версії прошивки. Cisco повідомила про вразливість Garrett ще в серпні, а компанія усунула уразливість аж 13 грудня.

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.