Етични хакери разкриха сериозна уязвимост в четвъртото поколение умни домашни устройства на българската компания Shelly, която може да позволи на човек, намиращ се извън имота, да отваря врати, гаражи или портали чрез WiFi. Проблемът не изисква сложна атака – достатъчно е физическо присъствие в обхвата на безжичната мрежа.

Откритието е направено от изследователи на PenTest Partners, които установяват, че Gen4 устройствата на Shelly оставят активна безжична точка за първоначална настройка (AP) дори след като вече са конфигурирани и свързани към домашната мрежа.

Какво е различното спрямо старите модели

По-ранните поколения на Shelly автоматично изключваха тази setup мрежа след приключване на инсталацията. При Gen4 това не се случва по подразбиране, което създава постоянна и неавтентикирана входна точка към устройството.

Как е открит проблемът

Уязвимостта е идентифицирана от изследователя Aлън Мони от PenTest Partners, след като заменя дефектирало старо устройство с нов модел Shelly 1 Gen4.

По време на свързване към домашната мрежа и обновяване на фърмуера той забелязва, че устройството:

• излъчва едновременно основната WiFi връзка и

• отделна „Shelly“ setup мрежа

Така устройството на практика разполага с два IP адреса и постоянна точка за достъп.

Единственият визуален индикатор за това е малка икона в горната статус лента – детайл, който лесно може да бъде пропуснат от обикновения потребител.

Какво може да направи нападател

Всеки в обхвата на отворената AP може:

• да се свърже без удостоверяване

• да изпраща директни команди към устройството

В по-леки сценарии това означава включване и изключване на осветление. Но много потребители използват Shelly за:

• гаражни врати

• входни портали

• електрически брави и релета

В тези случаи една-единствена неавтентикирана заявка може физически да отвори достъп до имота.

По-злонамерен сценарий включва умишлено циклично включване и изключване на релето, което може да повреди свързаното оборудване.

Рискът не спира до едно устройство

По-сериозният проблем е т.нар. странично придвижване. След като нападателят получи достъп до Gen4 устройство, той може:

• да качи модифициран фърмуер

• да наблюдава активност

• да се придвижи по-дълбоко в домашната мрежа

Тестовете показват, че компрометирани Gen4 устройства могат:

• да изпращат команди към по-стари Shelly модели

• потенциално да взаимодействат и с други IoT системи, заради слабости в обработката на TLS при по-старите контролери

Масово откриваеми устройства в Европа

Тъй като setup точките остават публично видими, те могат да бъдат откривани в голям мащаб. Изследователите използват платформата WiGLE, за да идентифицират хиляди Shelly мрежи в Европа, някои от които носят имена като „Garage“, директно разкриващи предназначението им.

Екипът твърди, че в някои случаи е било възможно локализиране до конкретен адрес.

Глобален мащаб на потенциалния риск

Shelly е българска компания с офиси в Германия, Словения, Полша, Китай и САЩ, а продуктите ѝ се използват в над 5,2 милиона дома по света. Макар да не е толкова масова като Amazon, Google или Philips, марката е изключително популярна сред:

• DIY общността

• професионални инсталатори

Това прави реалния обхват на уязвимостта значителен.

Реакцията на производителя

PenTest Partners съобщават, че са уведомили Shelly още през октомври 2025 г. Отговорът е бил, че фърмуер версия 1.8.0 ще изключва AP извън прозореца за първоначална настройка.

Проблемът е, че:

• няма обявен срок за пускане

• няма официално предупреждение към клиентите да изключат функцията ръчно

След повече от 90 дни ограничена реакция изследователите публикуват детайлите, за да предупредят потребителите.

„Secure-by-default“ – липсващият принцип

Според Keн Мънро, основател на PenTest Partners, проблемът е симптом на по-широка тенденция:

„Когато производителите бързат да пускат нови функции, често се създават несигурни настройки по подразбиране. В случая с Shelly Gen4 рискът не е само първоначалният достъп, а какво позволява той след това.“

По думите му истинската сигурност означава:

• автоматично затваряне на setup интерфейсите

• задължителна автентикация за локален контрол

• да не се разчита потребителят сам да „изрови“ настройките, за да се защити

Какво трябва да направят потребителите

Докато официален ъпдейт не бъде широко разпространен, експертите препоръчват:

• ръчно изключване на AP веднага след инсталация

• проверка за неочаквани WiFi мрежи

• сегментиране на IoT устройствата в отделна мрежа

Една на пръв поглед „удобна“ настройка може да се превърне в директна заплаха за физическата и мрежовата сигурност на дома. С нарастващото разпространение на Gen4 IoT устройства, този случай е ясен сигнал, че secure-by-default вече не е препоръка, а задължително изискване.