Kerentanan dalam sistem kontrol akses cerdas yang digunakan di banyak properti sewaan di AS memungkinkan siapa pun mengontrol kunci di rumah yang terkena dampak. Namun Chirp Systems, perusahaan yang membuat sistem tersebut, telah mengabaikan permintaan untuk memperbaiki bug tersebut.
Badan keamanan siber AS, CISA, secara terbuka mengeluarkan peringatan keamanan pekan lalu yang mengatakan bahwa aplikasi telepon bertenaga Chirp, yang digunakan orang-orang sebagai pengganti kunci untuk mengakses rumah mereka, “secara keliru menyimpan” informasi sensitif yang dapat digunakan untuk kendali jarak jauh yang kompatibel dengan Chirp .
Perangkat lunak yang mengandalkan kata sandi yang disimpan dalam teks, yang dikenal sebagai kredensial hardcoding, merupakan risiko keamanan karena siapa pun dapat mengekstrak dan menggunakan kredensial tersebut untuk melakukan tindakan sewenang-wenang pada perangkat lunak. Dalam hal ini, kode tersebut memungkinkan siapa saja untuk mengunci atau membuka kunci yang terhubung dengan Chirp secara online.
Dalam nasihatnya, CISA mengatakan bahwa mengeksploitasi kelemahan tersebut “dapat memungkinkan penyerang untuk mengontrol dan mendapatkan akses tak terbatas” ke lokasi pintar yang terhubung ke sistem pintar Chirp. Badan keamanan siber memberinya peringkat risiko 9,1 dari 10 karena “kesulitan menyerang” dan kemampuannya untuk digunakan dari jarak jauh.
Badan keamanan siber mengatakan Chirp Systems tidak menanggapi CISA atau penyelidik yang menemukan kerentanan tersebut.
Peneliti keamanan Matt Brown mengatakan kepada mantan reporter keamanan Brian Krebs bahwa dia memberi tahu Chirp tentang masalah keamanan pada Maret 2021 tetapi ancaman tersebut belum teratasi.
Chirp Systems adalah salah satu perusahaan dengan pertumbuhan tercepat di bidang teknologi rumah yang menyediakan kontrol nirkabel yang terintegrasi dengan teknologi rumah pintar untuk raksasa persewaan. Perusahaan persewaan mendorong penyewa untuk mengizinkan perangkat rumah pintar dipasang sesuka hati, namun ini adalah pertanyaan sulit siapa yang mengambil tanggung jawab atau kepemilikan ketika masalah keamanan muncul.
Camden Property Trust menandatangani kesepakatan pada tahun 2020 untuk memasang kunci pintar yang terhubung dengan Chirp ke lebih dari 50.000 unit di lebih dari 100 properti. Tidak jelas apakah properti yang terkena dampak seperti Camden menyadari ancaman tersebut atau telah mengambil tindakan. Kim Callahan, juru bicara Camden, tidak menanggapi permintaan komentar.
Chirp dibeli oleh raksasa manajemen aset RealPage pada tahun 2020, dan RealPage dibeli oleh raksasa ekuitas swasta Thoma Bravo pada akhir tahun itu dalam kesepakatan senilai $10,2 miliar. RealPage menghadapi serangkaian tantangan hukum atas tuduhan bahwa aplikasi persewaannya menggunakan teknik rahasia dan kepemilikan untuk membantu tuan tanah menaikkan harga sewa lebih tinggi dari yang diharapkan bagi penyewa.
Baik RealPage maupun Thoma Bravo tidak mengakui kerentanan perangkat lunak yang mereka temukan, atau mengatakan apakah mereka bermaksud memberi tahu orang-orang tentang risiko keamanan.
Jennifer Bowcock, juru bicara RealPage, tidak menanggapi permintaan TechCrunch. Megan Frank, juru bicara Thoma Bravo, juga tidak menanggapi permintaan komentar.
