Брешь затрагивает модель холодильников RF28HMELBSR из линейки устройств для "умного" дома, которыми можно управлять через приложение Smart Home.
Несмотря на то, что холодильники поддерживают SSL, они не проверяют подлинность SSL-сертификатов, что делает возможным атаку "человек посередине" на большинство соединений. Подключенные к интернету устройства загружают из Gmail Calendar информацию для отображения на дисплее. Как выяснили исследователи, этим могут воспользоваться злоумышленники, которым удастся проникнуть в эту сеть для похищения учетных данных.
По словам экспертов из Pen Test Partners, "умные" холодильники от Samsung работают по тому же принципу, что и остальные устройства, поддерживающие Gmail Calendar. Авторизованный пользователь (владелец календаря) вносит в него изменения, которые затем видны на любом из его устройств. Злоумышленник может осуществить атаку деаутентификации, а затем атаку "человек посередине" на календарь и похитить, к примеру, учетные данные своих соседей.