«Умные» замки намертво заблокировали сотни дверей в гостиницах

Безопасность Стратегия безопасности Техника
мобильная версия
, Текст: Роман Георгиев
Ошибка в обновлении для «умных» замков LockState привела к выходу из строя нескольких сотен этих устройств. Главными пострадавшими оказались клиенты гостиничной онлайн-площадки Airbnb.

Фатальная поломка

«Фатальная» ошибка в обновлении программной прошивки для «умных» кодовых замков LockState RemoteLock 6i/6000i вывела из строя несколько сотен этих устройств, так что открыть их можно было только физическим ключом.

Замки RemoteLock стоимостью $469 продаются частным домовладельцам, коммерческим владельцам недвижимости, но в первую очередь клиентам онлайновой площадки Airbnb, с которой у LockState подписан партнерский договор.

Замок RemoteLock 6i открывается с помощью пользовательского кода доступа, уникального для каждого из гостя Airbnb, и не требует физического ключа. Коды доступа создаются и хранятся на серверах компании-производителя замков LockState и сообщаются устройству по беспроводному соединению.

Предполагается, что эта модель защищает арендуемую недвижимость от бывших недобросовестных съемщиков, которые могут захотеть у нее проникнуть.

Поскольку в результате ошибки обновления замки заблокировались и оказались лишены возможности обратиться к серверу по беспроводному соединению, пользователи замков не смогли их открыть, а владельцы запертых помещений не смогли сбросить старые коды и сгенерировать новые.

«Умные» замки LockState заблокировали сотни дверей в гостиницах и у клиентов AirBNB

И если для владельцев частной недвижимости проблема с программной прошивкой было скорее досадной, но некритичной проблемой, то клиенты Airbnb - владельцы отелей и хостелов - испытывали куда более существенные затруднения: клиентов затронутых организаций пришлось снабжать физическими ключами, потому что коды и карты не работали.

Типичная проблема

Без беспроводного соединения замков с сервером производителя удаленно исправить проблему оказалось невозможным.

«Замки LockState оснащены беспроводным соединением, и, соответственно, являются типичным представителем т.н. «интернета вещей» с типичными же слабыми местами, - отмечает Георгий Лагода, генеральный директор компании SEC Consult Services. - Ситуация с рассылкой «фатальной» ошибки в обновлении продемонстрировала серьезную проблему с программной архитектурой: и если сами разработчики умудрились в буквальном смысле «все сломать» удаленно, то с этим справятся и целеустремленные злоумышленники.

В заявлении LockState, опубликованном в официальном аккаунте компании в Twitter, указывается, что пострадали всего 500 замков.

При этом компания признает, что локальное исправление проблемы невозможно в принципе, так что у пользователей остаются только два варианта: отправить замок производителю и через пять-семь дней получить его перепрошитым, или сразу затребовать другой замок на замену. Во втором случае процесс займет 14-18 дней.