تقول الحكومة الأمريكية إن ثغرة أمنية في تطبيق Chirp Systems تتيح لأي شخص التحكم عن بعد في أقفال المنزل الذكي

تسمح ثغرة أمنية في نظام التحكم الذكي في الوصول المستخدم في آلاف المنازل المستأجرة في الولايات المتحدة لأي شخص بالتحكم عن بعد في أي قفل في المنزل المتضرر. لكن شركة Chirp Systems، الشركة المصنعة للنظام، تجاهلت طلبات إصلاح الخلل.

أعلنت وكالة الأمن السيبراني الأمريكية CISA عن استشارة أمنية الأسبوع الماضي قائلة إن تطبيقات الهاتف التي طورتها شركة Chirp، والتي يستخدمها السكان بدلاً من مفتاح الوصول إلى منازلهم، “تخزن بشكل غير صحيح” بيانات الاعتماد المشفرة التي يمكن استخدامها للتحكم عن بعد في أي من أجهزة Chirp. قفل ذكي متوافق.

تمثل التطبيقات التي تعتمد على كلمات المرور المخزنة في كود المصدر الخاص بها، والمعروفة باسم بيانات اعتماد التشفير الثابت، خطرًا أمنيًا لأنه يمكن لأي شخص استخراج بيانات الاعتماد هذه واستخدامها لتنفيذ إجراءات تنتحل شخصية التطبيق. في هذه الحالة، سمحت بيانات الاعتماد لأي شخص بقفل أو فتح قفل باب متصل بـ Chirp عن بعد عبر الإنترنت.

وقالت CISA في تقريرها إن الاستغلال الناجح للخلل “قد يسمح للمهاجم بالسيطرة والحصول على وصول فعلي غير مقيد” إلى الأقفال الذكية المتصلة بنظام المنزل الذكي Chirp. أعطت وكالة الأمن السيبراني درجة خطورة الضعف 9.1 من أصل 10 كحد أقصى بسبب “انخفاض تعقيد الهجوم” وقدرتها على استغلالها عن بعد.

وقالت وكالة الأمن السيبراني إن Chirp Systems لم تستجب لـ CISA أو للباحث الذي اكتشف الثغرة الأمنية.

أخبر الباحث الأمني ​​مات براون الصحفي الأمني ​​المخضرم بريان كريبس أنه أبلغ Chirp بالمشكلة الأمنية في مارس 2021 لكن الثغرة الأمنية لم يتم إصلاحها.

تعد Chirp Systems واحدة من عدد متزايد من الشركات في مجال تكنولوجيا العقارات التي توفر أدوات تحكم في الوصول بدون مفتاح تتكامل مع تقنيات المنزل الذكي لعمالقة الإيجار. تجبر شركات التأجير المستأجرين بشكل متزايد على السماح بتركيب معدات المنزل الذكي وفقًا لما تمليه عقود الإيجار الخاصة بهم، ولكن من الغامض في أحسن الأحوال من يتحمل المسؤولية أو الملكية عند ظهور مشاكل أمنية.

وقعت شركة Camden Property Trust العملاقة للعقارات والتأجير صفقة في عام 2020 لطرح أقفال ذكية متصلة بـ Chirp لأكثر من 50000 وحدة عبر أكثر من مائة عقار. ليس من الواضح ما إذا كانت العقارات المتأثرة مثل Camden على علم بالثغرة الأمنية أو اتخذت إجراءات. ولم يستجب كيم كالاهان، المتحدث باسم كامدن، لطلب التعليق.

تم شراء Chirp من قبل شركة RealPage العملاقة لبرمجيات إدارة العقارات في عام 2020، واستحوذت شركة Thoma Bravo العملاقة للأسهم الخاصة على RealPage في وقت لاحق من ذلك العام في صفقة بقيمة 10.2 مليار دولار. تواجه RealPage العديد من التحديات القانونية بسبب مزاعم بأن برنامج تحديد الإيجار الخاص بها يستخدم خوارزميات سرية وملكية لمساعدة الملاك على رفع أعلى الإيجارات الممكنة على المستأجرين.

لم تعترف RealPage أو Thoma Bravo بعد بنقاط الضعف في البرنامج الذي حصلت عليه، ولا تقول ما إذا كانت تخطط لإخطار السكان المتضررين بالمخاطر الأمنية.

ولم تستجب جينيفر بوكوك، المتحدثة باسم RealPage، لطلبات التعليق من TechCrunch. كما لم تستجب ميغان فرانك، المتحدثة باسم توما برافو، لطلبات التعليق.