На уязвимость обратило внимание даже Агентство по кибербезопасности и инфраструктурной безопасности правительства США (CISA), которое недавно потребовало от Chirp обновить приложение для Android, «чтобы повысить его стабильность и безопасность».
Уязвимости был присвоен балл серьёзности CVSS 9,1 из 10 — крайне высокая. Оказалось, что с помощью API в Android-версии приложения для управления замками можно «притвориться» разработчиком и, используя довольно простой рабочий процесс для загрузки и декомпиляции APK-приложений, получить единый файл, в котором разработчики Chirp хранят пароли и строки закрытых ключей.
Уточняется, что Chirp — ПО, используемое для управления «умными» совместимыми замками, которые можно купить у таких продавцов, как August, — одного из крупнейших производителей электроники для «умного» дома, принадлежащего материнскому предприятию, шведской компании Assa Abloy.
