Výskumníci objavili celkovo deväť softvérových zraniteľností v bežne používanom produkte na detekciu kovov. V prípade zneužitia by tieto zraniteľnosti mohli hackerom podľa výskumu umožniť preniesť detektory do režimu offline, prečítať alebo zmeniť ich údaje alebo len všeobecne narušiť ich funkčnosť.ls.

Predmetný výrobok vyrába Jarrett , známa spoločnosť v Spojených štátoch, ktorá vyrába detektory kovov a predáva svoje produkty do škôl, súdov, väzníc, letísk, športových a rekreačných zariadení a rôznych vládnych budov. Jeho webová stránka A inak stránky. Inými slovami, ich produkty sú takmer všade.

Žiaľ, podľa výskumníkov s Cisco Talos, Garrett široko používaný jednotka iC V ťažkostiach. Produkt, ktorý poskytuje sieťovú konektivitu k dvom bežným detektorom spoločnosti (Garrett PD 6500i a Garrett MZ 6100), funguje hlavne ako riadiace centrum pre ľudskú obsluhu detektora: pomocou prenosného počítača alebo iného rozhrania môže operátor používať jednotku na diaľkové ovládanie detektora, Okrem zapojenia sa do „monitorovania a diagnostiky v reálnom čase,“ podľa webové stránky Predajte produkt.

V blogovom príspevku Zverejnené v utorok, Talos vedci povedali o zraniteľnosti v iC, ktoré sú oficiálne sledované ako Roj násilného extrémizmuMohlo by to niekomu umožniť hacknúť určité detektory kovov, stiahnuť ich z internetu, spustiť ľubovoľný kód a vo všeobecnosti veci skutočne pokaziť.

„Útočník môže manipulovať s touto jednotkou, aby na diaľku monitoroval štatistiky detektora kovov, napríklad či bol spustený poplach alebo koľko návštevníkov ním prešlo,“ Vedci píšu. „Môžu tiež vykonávať zmeny v konfigurácii, ako je zmena úrovne citlivosti zariadenia, čo by mohlo predstavovať bezpečnostné riziko pre používateľov, ktorí sa spoliehajú na tieto detektory kovov.“

Stručne povedané: toto je zlá správa. Vo všeobecnosti sa nikomu veľmi nechce prejsť cez detektor kovov. Ale ak by ste mali prejsť cez jeden, mohli by ste tiež pracovať, však? Zatiaľ čo scenáre, v ktorých by sa útočník mohol stretnúť s problémom nabúrania sa do týchto systémov, sa zdajú tenké a možno vymyslené, mať funkčné bezpečnostné systémy na dôležitých miestach, ako sú letiská a vládne agentúry, sa javí ako dobrý nápad.

Našťastie Talos hovorí, že používatelia týchto zariadení môžu zmierniť zraniteľné miesta aktualizáciou svojich iC na najnovšiu verziu ich firmvéru. Talos píše, že Cisco zrejme odhalilo bezpečnostné chyby Garrettovi v auguste a predajca chyby opravil 13. decembra.

Požiadali sme o komentár Garrett Security a tento príbeh aktualizujeme, ak odpovie.