Die Dreamehome App ist anfällig für eine Schwachstelle innerhalb der Authorisierung. Ein Besitzer des Staubsaugerroboters kann diesen mit anderen Benutzern teilen. Die Berechtigungen des freigegebenen Benutzers sind jedoch sehr begrenzt. Obwohl es nicht möglich ist, über die mobile Anwendung mit Fotos und Videos zu interagieren, ist es dennoch möglich, die Bilder/Videos zu löschen und aufzulisten und sogar die verschlüsselten Bilder/Videos herunterzuladen, indem die Anfragen mit dem JWT des freigegebenen Benutzers gesendet werden.
Zum vollständigen Security Advisory (Englisch).
EOF Alissa Kim / @2024
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.