美国网络安全和基础设施安全局(CISA)发布警告称,Chirp Systems智能锁存在一个具有“低攻击复杂性”的远程漏洞。该漏洞源自Chirp Access在其源代码中不当地存储凭据,可能导致敏感信息被未经授权的访问者获取。CISA将此漏洞的CVSS(Common Vulnerability Scoring System,公共漏洞评分系统)评级定为9.1(可能为10)。然而,Chirp Systems并未回应CISA合作以修复该漏洞的请求。
报告此漏洞的CISA研究员Matt Brown是亚马逊网络服务公司的高级系统开发工程师。Brown表示,他发现了该漏洞并于2021年3月向Chirp Systems报告。此前,他所居住的公寓使用了Chirp智能锁,并告知了每位居民安装Chirp应用程序以进出公寓。
Brown解释说,他利用了Android平台的简单工作流程下载和反编译了Chirp应用程序,发现它在文件中存储了密码和私钥字符串。利用这些硬编码凭据,攻击者可以连接到由智能锁供应商August.com管理的应用程序编程接口(API),并使用该接口远程锁定或解锁任何使用该技术的建筑物中的任何门。
Chirp Systems的母公司RealPage,Inc.也备受关注。RealPage,Inc.被美国多个州起诉,指控其与房东串通非法提高租金。此外,有关调查还发现RealPage的软件在租金设定方面采用了神秘算法,帮助房东推动最高租金。这些事件引起了大量租户的不满,并导致美国司法部支持数十名租户提起诉讼,控告RealPage帮助房东串通抬高租金。
值得注意的是,这些事件的发生引发了公众对于智能锁安全性和租金设定公平性的担忧。同时,这些事件也突显了在数字化时代,数据隐私和消费者权益保护的重要性。
