Барбекю с сюрпризом: исследователи выявили ряд уязвимостей в умных грилях Traeger
NewsMakerЛюбители стейков рискуют стать жертвами кибергурманов.
Специалисты компании Bishop Fox выявили несколько уязвимостей в Wi-Fi контроллере умного гриля Traeger Grill D2, позволяющем управлять приготовлением мяса и овощей удалённо с помощью мобильного устройства. Обнаруженные уязвимости могут представлять серьёзную угрозу сетевой безопасности пользователей.
Исследователи отметили следующие выявленные проблемы:
Компания Traeger уже выпустила обновление прошивки для решения этой проблемы. Грили, подключенные к Интернету, автоматически получают обновления, поэтому пользователи могут быть уверены в безопасности своих устройств.
Также было обнаружено, что API GraphQL, используемое мобильным приложением, содержало операцию ListGrills, которая раскрывала атакующему информацию обо всех зарегистрированных грилях пользователей. Хотя для доступа к API требовался ключ API и токен AWS Cognito, это представляло ощутимый уровень риска для безопасности. В ответ на отчёт о данной уязвимости, компания Traeger полностью отключила операцию ListGrills.
Растущая популярность устройств Интернета вещей ( IoT ) делает необходимым проведение комплексных проверок безопасности для защиты подключенных устройств. А для повышения безопасности грилей Traeger Grill D2 специалисты Bishop Fox рекомендуют любителям барбекю всегда использовать физический выключатель питания для полного отключения грилей, когда они не используются.
Специалисты компании Bishop Fox выявили несколько уязвимостей в Wi-Fi контроллере умного гриля Traeger Grill D2, позволяющем управлять приготовлением мяса и овощей удалённо с помощью мобильного устройства. Обнаруженные уязвимости могут представлять серьёзную угрозу сетевой безопасности пользователей.
Исследователи отметили следующие выявленные проблемы:
- Недостаточный контроль за процессом авторизации;
- Раскрытие конфиденциальной информации;
- Незашифрованная прошивка;
- Открытые порты для отладки.
Компания Traeger уже выпустила обновление прошивки для решения этой проблемы. Грили, подключенные к Интернету, автоматически получают обновления, поэтому пользователи могут быть уверены в безопасности своих устройств.
Также было обнаружено, что API GraphQL, используемое мобильным приложением, содержало операцию ListGrills, которая раскрывала атакующему информацию обо всех зарегистрированных грилях пользователей. Хотя для доступа к API требовался ключ API и токен AWS Cognito, это представляло ощутимый уровень риска для безопасности. В ответ на отчёт о данной уязвимости, компания Traeger полностью отключила операцию ListGrills.
Растущая популярность устройств Интернета вещей ( IoT ) делает необходимым проведение комплексных проверок безопасности для защиты подключенных устройств. А для повышения безопасности грилей Traeger Grill D2 специалисты Bishop Fox рекомендуют любителям барбекю всегда использовать физический выключатель питания для полного отключения грилей, когда они не используются.