Как сообщает The Register, на конференции DEF CON был продемонстрирован эксплойт для уязвимости в холодильнике Samsung RF28HMELBSR. Исследователи из компании Pen Test Partners обнаружили, что холодильник, использующий SSL-соединение, не проверяет SSL-сертификаты, что дает возможность для проведения атак «человек посередине».

Устройство загружает информацию из «Календаря Google» и показывает ее на своем дисплее. Наличие уязвимости означает, что хакер, сумевший попасть в ту же сеть, что и холодильник, потенциально может украсть записанные в нем учетные данные для Google.

«Холодильник с интернет-подключением показывает на дисплее информацию из календаря Gmail, — пояснил Кен Мунро (Ken Munro), исследователь-безопасник из Pen Test Partners. — Похоже, что это работает так же, как и в любом устройстве с календарем Gmail. Аутентифицированный пользователь/владелец календаря вносит изменения, и эти изменения могут быть просмотрены на любом устройстве, через которое можно видеть календарь.

Хотя SSL используется, холодильник не проверяет подлинность сертификата. Следовательно, хакеры способны подключиться к сети, в которую включен холодильник (например, посредством деаутентификации и создания поддельной точки доступа Wi-Fi), встать на позицию «человека посередине» в канале передачи данных клиента календаря и украсть учетные данные Google».

Категории: Уязвимости