아보드의 올인원 홈 보안 시스템에 보안 취약점이 발생했다. 이로 인해 해커는 사용자의 보안 카메라를 원격으로 끌 수 있는 것으로 나타났다.
아보드의 Iota 올인원 보안 키트는 메인 보안 카메라, 창문과 문에 부착하는 모션 센서, 집 안의 원하지 않는 움직임을 사용자에게 알려주는 허브를 포함한 DIY 홈 보안 시스템이다. 구글 홈, 아마존 알렉사, 애플 홈키트와 같은 써드파티 스마트 허브와 통합이 가능하다.
시스코의 탈로스 사이버보안 부서의 연구원은 20일(현지시간) 아보드의 보안 시스템의 몇 가지 취약점을 공개했다. 이 중에는 기기 인증 메커니즘을 우회해 패스워드 없이도 원격으로 몇 가지 민감한 기기의 기능을 작동시킬 수 있는 치명적인 등급의 인증 우회 결함이 포함됐다.
CVE-2022-27805로 추적되는 이 결함은 원격 구성 변경 사항을 처리하는 UDP 서비스의 인증 우회 취약점으로, 취약점 심각도 등급은 10점 만점에 9.8점이다. UDP서비스는 인터넷상의 애플리케이션 간 저지연 연결을 설정하는 데 사용되는 통신 프로토콜이다.
해커는 이를 통해 장치 무장 해제, 민감한 구성 값 읽기 및 쓰기, 장치 재부팅, 로컬 웹 인터페이스 활성화, 로컬 웹 인터페이스의 관리 계정 사용자 이름 및 패스워드 변경 등의 다양한 방법으로 장치를 조작할 수 있다.
해커가 아보드의 모바일 및 웹 애플리케이션을 통해 기기 재부팅, 관리자 비밀번호 변경, 보안 시스템 해제와 같은 명령을 원격으로 실행할 수 있는 것이다.
관련기사
- 도요타, 5년간 30만명 고객 정보 유출2022.10.13
- '논문심사 사례비 지급 위장' 북한發 해킹 공격 등장2022.10.12
- 삼성전자 또 해킹 당해...美 고객정보 유출2022.09.05
- 에버스핀 "기존에 없던 보안 기술 개발···혁신이 뭔지 보여줘"2022.09.16
시스코 탈로스는 사용자에게 가능한 빨리 아보드 홈 보안 시스템을 최신 버전으로 업데이트하는 것이 좋다고 말했다.
한편, 최근 미국 정부는 심각한 국가 안보 위험으로부터 자국민을 보호하기 위해 2023년부터 소비자 사물 인터넷 장치(IoT)에 대한 사이버 보안 라벨링 프로그램을 시작할 것이라고 밝혔다.
