Ошибка в обновлении для «умных» замков LockState привела к выходу из строя нескольких сотен этих устройств. Главными пострадавшими оказались клиенты гостиничной онлайн-площадки Airbnb.
Фатальная поломка
«Фатальная» ошибка в обновлении программной прошивки для «умных» кодовых замков LockState RemoteLock 6i/6000i вывела из строя несколько сотен этих устройств, так что открыть их можно было только физическим ключом.
Замки RemoteLock стоимостью $469 продаются частным домовладельцам, коммерческим владельцам недвижимости, но в первую очередь клиентам онлайновой площадки Airbnb, с которой у LockState подписан партнерский договор.
Замок RemoteLock 6i открывается с помощью пользовательского кода доступа, уникального для каждого из гостя Airbnb, и не требует физического ключа. Коды доступа создаются и хранятся на серверах компании-производителя замков LockState и сообщаются устройству по беспроводному соединению.
Предполагается, что эта модель защищает арендуемую недвижимость от бывших недобросовестных съемщиков, которые могут захотеть у нее проникнуть.
Поскольку в результате ошибки обновления замки заблокировались и оказались лишены возможности обратиться к серверу по беспроводному соединению, пользователи замков не смогли их открыть, а владельцы запертых помещений не смогли сбросить старые коды и сгенерировать новые.
И если для владельцев частной недвижимости проблема с программной прошивкой было скорее досадной, но некритичной проблемой, то клиенты Airbnb — владельцы отелей и хостелов — испытывали куда более существенные затруднения: клиентов затронутых организаций пришлось снабжать физическими ключами, потому что коды и карты не работали.
Типичная проблема
Без беспроводного соединения замков с сервером производителя удаленно исправить проблему оказалось невозможным.
«Замки LockState оснащены беспроводным соединением, и, соответственно, являются типичным представителем т.н. «интернета вещей» с типичными же слабыми местами, — отмечает Георгий Лагода, генеральный директор компании SEC Consult Services. — Ситуация с рассылкой «фатальной» ошибки в обновлении продемонстрировала серьезную проблему с программной архитектурой: и если сами разработчики умудрились в буквальном смысле «все сломать» удаленно, то с этим справятся и целеустремленные злоумышленники.
В заявлении LockState, опубликованном в официальном аккаунте компании в Twitter, указывается, что пострадали всего 500 замков.
При этом компания признает, что локальное исправление проблемы невозможно в принципе, так что у пользователей остаются только два варианта: отправить замок производителю и через пять-семь дней получить его перепрошитым, или сразу затребовать другой замок на замену. Во втором случае процесс займет 14-18 дней.