Как узнать какая компания обслуживает домофон по адресу: проверенные методы

pier1989, 12 октября 2021, 12:32

Android 5.0+   Другие версии

Domofond.ru — приложение для поиска недвижимости. Революционная технология недвижимости. Просто обведите область на карте, и вы увидите все объявления в выбранном вами районе. Технология поиска поможет тем, кто планирует купить квартиру, снять квартиру, купить дом или арендовать дом.Миллионы объявлений об аренде и продаже недвижимости в Москве, Подмосковье, Санкт-Петербурге, Екатеринбурге, Новосибирске, Ростове, Краснодарском крае и других регионах России.(1 ссылка на Ios — Ipone,2 ссылка на Ios — IPad)

Подписывайтесь на наш Дзен Подписывайтесь на наш Телеграм Чтобы увидеть более ранние версии, войдите на сайт Эти программы встречаются под названиями: домофонд. Последнее изменение: 12 октября 2021, 12:32 Информационная безопасность *Разработка под iOS *Разработка под Android *Реверс-инжиниринг *Аналитика мобильных приложений *

Доброго времени суток, дорогие читатели. Однажды, я уже писал здесь об уязвимости в контроллерах СКУД от IronLogic. Подробнее – здесь. Там уязвимость заключалась (и заключается, так как инженер IronLogic считает, что “Уязвимость некритична, исправлять не будем.”) в программном баге прошивки z5r. Здесь же я хочу поделиться другим исследованием, на этот раз уязвимость присутствует в сервисе облачного видеонаблюдения и домофонии от “Орион Телеком” и “Росдомофон”. Чудо называется “Домофон 2.0” (впрочем у “Росдомофона” есть и собственный одноименный бренд), и внедряется (по крайней мере в Красноярске) с начала 2020 года. Осторожно, много фото.

В отличии от аналогичного решения от “Дом.ру”, “Домофон 2.0” не требует замены домофонной панели и инфраструктуры, просто устанавливается камера и небольшой модуль (на основе Raspberry Pi, как ни странно), и вуаля – вы можете управлять открытием/закрытием двери, принимать звонки с домофона прямо на смартфон, смотреть камеры и так далее. Лично мне стало интересно как оно работает, и я зарегистрировался в приложении, ввел логин и пароль от аккаунта “Орион”, и все заработало. Однако я захотел выловить RTSP-поток с камеры возле домофона для домашней телестенки, и я полез анализировать приложение. Первое, что пришло на ум – Wireshark. Отлично, ссылка вида “rtsp://rdva10.rosdomofon.com:554/live/%НОМЕР_КАМЕРЫ_В_СИСТЕМЕ%” есть, но удаленная сторона потребовала логин-пароль. Сложнее – Wireshark говорит что аутентификация типа Digest, и пароль с логином в открытом виде не мелькают. Сформируем список задач:

• Перехватить данные передаваемые приложением и обратно

• Понять, как приложение передает служебные команды

• Понять, откуда берется связка логин-пароль

Вооружаемся декомпилятором, Android Studio, и виртуальной машиной, качаем .apk-версию приложения, разбираем. Узнаем, что приложение обращается только к двум адресам при запуске – rdva.rosdomofon.com, и log.rosdomofon.com:12202/gelf, общение происходит по протоколу HTTP, и дальнейшие инструкции приложение берет оттуда. И тут мне пришло в голову запустить приложение в Bluestaks и мониторить logcat. Вот тут-то и начинается самое интересное. Логин-пароль я нашел минуты за полторы, но тут мелькали и токены, и точные HTTP-запросы.

Однако, не было бы этого поста, если бы я не полез экспериментировать далее. С помощью инструмента Postman я отправлял запросы и обнаружил, что удаленная сторона даже не проверяет User-Agent приложения. И я обнаружил интересный момент, что при регистрации номера телефона и адреса в приложении, оно в открытом виде взаимодействует с ресурсом “https://panel.rosdomofon.com/”. Логин и пароль, который мне удалось извлечь, я публиковать не буду, а сразу перейду к сути того, что мне удалось получить доступ фактически к административной панели сервиса. И я не удержался – набросал скрипт, который по моим прикидкам может открыть любую дверь, подключенную к этому сервису. Демонстрация работы – ниже.

Суммируя вышесказанное: любая система может быть скомпрометирована – безусловно. Но когда разработчик ленится дорабатывать механизмы защиты так, что в открытом виде может утечь такая чувствительная информация, как логин и пароль администратора, то (на мой взгляд, и думаю все же не только мой) – это уже перебор. Позже, выложу ссылку на видеодемонстрацию обхода защиты данным методом.

UPD. Ссылка на видеодемонстрацию.

UPD. 2 На текущий момент со мной связались обе компании, идет работа над исправлением уязвимости, эксплуатация уязвимости на данный момент невозможна.

Проясните, пожалуйста, ситуацию с платой за обслуживание домофона.

Жильцы подъезда в складчину приобрели и установили металлическую дверь с домофоном. И дверь, и домофонное оборудование находятся в собственности жильцов. Компания-установщик дополнительно выдает договор на техническое обслуживание за абонентскую плату. Кто-то его заключает и платит, кто-то не заключает вообще. При этом тех, кто не подписал договор, компания отключает от домофона.

Вопросы:

1. Обязаны жильцы заключать такие договоры или фактически это принуждение?
2. Насколько правомерны действия компании по отключению домофона?
3. Если неправомерны, то как отстаивать свои права?
4. Если оборудование принадлежит жильцам, а обслуживает его управляющая компания, или оборудование не в собственности, как тогда правильно сделать?

Николай

Нужно разделять домофон как оборудование, которое открывается с улицы ключом-кнопкой, и домофон как переговорное устройство. С помощью последнего можно из квартиры принять вызов человека с улицы и открыть ему дверь в подъезд.

За наружный домофон — магнитный замок — нужно платить, если большинство собственников в доме проголосовали за его установку с последующим платным абонентским обслуживанием. Но отключить любого жильца от магнитного замка невозможно: это будет нарушать право человека на доступ к своему жилищу.

Другая ситуация с переговорным устройством в квартире — домофонной трубкой. Никто не может обязать вас заключить договор на обслуживание трубки: вы сами решаете, нужна ли она вам. Если не будете платить за трубку, домофонная компания вправе ее отключить.

По такому же принципу решаются вопросы с оплатой и отключением, если домофон обслуживает УК, а не сторонняя организация, или если оборудование в аренде.

Договор на магнитный замок и плата по нему

Подъездная дверь с магнитным замком — это общее имущество собственников в многоквартирном доме. Распоряжаться общим имуществом собственники могут только по соглашению между собой. Для этого они проводят общие собрания.

Вы пишете, что собственники квартир в вашем доме в складчину приобрели металлическую дверь с домофоном. То есть на общем собрании ваши соседи решили заказать дверь с замком в конкретной компании, собрали на нее деньги и выбрали представителя, который от имени всех собственников подписал договор на установку двери с домофоном. Отдельного договора с каждым из собственников в данном случае, скорее всего, не будет: обычно его подписывает УК или другой выбранный собственниками представитель.

При этом магнитный замок требует постоянного обслуживания: если он сломается, люди не попадут в свои квартиры или, наоборот, дверь будет нараспашку. Чтобы всегда были деньги на своевременный ремонт домофона, собственники обычно заранее решают, кто и за сколько должен следить за магнитным замком.

Это и есть абонентская плата за его техобслуживание. Скорее всего, когда на общем собрании ваши соседи решили установить подъездную дверь с магнитным замком, они предусмотрели заключение договора с последующим платным абонентским обслуживанием этого замка.

В некоторых домах в квитанциях есть отдельная строка для оплаты услуг специализированной компании, в других платеж включен в строку «Содержание жилья» и ситуацию с домофонами контролирует УК. Но если собственники заключили договор на установку двери с последующим обслуживанием, то исключить из квитанции плату за обслуживание двери с магнитным замком нельзя. Подробнее об этом мы уже писали.

Вряд ли домофонная компания может отключить магнитный замок из-за того, что кто-то не платит за его обслуживание. Во-первых, домофонная компания не может по своему желанию ограничить право людей на доступ к их квартирам. Во-вторых, если компания отключит домофонное оборудование полностью, чтобы дверь стояла открытой, пострадают добросовестные плательщики, а это запрещено законом.

Вы пишете, что компания-установщик дополнительно выдает всем жильцам договор на техническое обслуживание домофона за абонентскую плату. Тех, кто не подписывает договор, компания отключает от домофона. Скорее всего, речь идет о домофонной трубке.

Договор на домофонную трубку и плата за нее

Домофонная трубка в квартире — это не общее имущество собственников в многоквартирном доме. Устанавливать ее или нет, каждый собственник решает самостоятельно.

По закону граждане и юридические лица свободно заключают договоры — принуждать к этому нельзя. Так что вас не могут заставить подписать договор на техобслуживание домофонной трубки, если вы этого не хотите. Вы сами решаете, чем будете пользоваться в своей квартире, а чем нет.

Домофонная трубка соединяет квартиру с оборудованием на двери подъезда, которое установила домофонная компания. Если вы хотите получать звонки от двери в подъезд и открывать ее из квартиры, не спускаясь вниз, то это отдельная услуга компании-установщика, за которую нужно платить.

Не может быть так, что кто-то из жильцов заключает договор на обслуживание домофонной трубки и платит по нему, а кто-то не платит, но все равно пользуется домофоном. Если бы действовали одинаковые условия для плательщиков и неплательщиков, это не соответствовало бы нормам гражданского законодательства.

В теории возможно и безвозмездное оказание услуг, но тогда при установке и настройке трубки вы бы получили договор, где прямо указывалось на это. Например, словами «безвозмездное обслуживание оборудования» или «установка оборудования без абонентской платы».

Думаю, если вы не платили за домофонную трубку и компания-установщик отключила ее, значит, в договоре было, например, такое условие: «При отсутствии платы за предыдущие месяцы оказание услуг приостанавливается». Если компания действует по условиям договора, она действует правомерно. В этом случае отстаивать свои права будете уже не вы, а домофонная компания: она может потребовать от вас оплатить задолженность за обслуживание домофонной трубки.

Если домофон обслуживает управляющая компания, ничего не меняется: вы можете не заключать договор на обслуживание трубки и не пользоваться ею. Но если вы подпишете договор, у вас появится обязанность исполнять его условия — платить за домофонную трубку.

Если домофонное оборудование вам не принадлежит, условия те же. Только платить надо не за обслуживание, а за аренду. Если не платить, оборудование заберут.

Что в итоге

Платить за магнитный замок придется. Если вы хотите пользоваться еще и домофонной трубкой, ее обслуживание нужно оплачивать отдельно.

Я, например, плачу только за обслуживание магнитного замка, который открываю ключом на входе в подъезд. Посчитала, что дешевле сделать копии ключа для друзей и родственников, чем ежемесячно доплачивать за трубку в квартире. Но провайдер, который поставляет интернет и кабельное телевидение в большую часть квартир в моем доме, установил на входе в подъезды свое оборудование с функцией видеодомофона. Теперь через бесплатное приложение «Умный дом» на смартфоне я могу увидеть того, кто стоит у подъезда, и открыть дверь.

Я проверила — такие приложения есть у многих провайдеров. Присмотритесь: вдруг на входе в ваш подъезд тоже появилось дополнительное оборудование, которым вы можете пользоваться вместо трубки.

Опция оплаты домофона с помощью системы Сбербанк Онлайн позволяет экономить время. Для этого вам не потребуется ехать в банк, выстаивать большие очереди. Процедура оплаты проста, ее можно произвести в течение пяти минут, вы оплачиваете услугу не выходя из дома в любое время, даже в выходной день, когда офисы не работают. Но прежде чем перейти к оформлению платежа, требуется узнать, как оплатить домофон через Сбербанк Онлайн.

Подключение услуги

Чтобы иметь возможность совершать переводы в любое удобное время, потребуется получить доступ к системе Сбербанк Онлайн.

Для этого клиент должен активировать в своем телефоне опцию «Мобильный банк» и заводит личный кабинет. Вариантов активации может быть несколько:

• с помощью терминала, распечатав чек, чтобы был сфабрикован пароль и идентификационный номер;
• обратившись к сотруднику банка;
• позвонив в call-центр.

Если клиент уже подключен к Мобильному банку, то данную процедуру проходить не потребуется. Теперь, когда доступ к мобильному приложению имеется, можно заплатить за домофон в любое удобное время.

Оплата домофона

Войдя на сайт, следует найти раздел: «Переводы и платежи». Вариантов оплаты домофона — три. В первом случае выбирают раздел «Перевод организации». Во втором случае вводят реквизиты получателя. И третий вариант предполагает выбор раздела «ЖКХ и домашний телефон».

Выбрав первый вариант, останется просто ввести данные в появившемся стандартном бланке. При этом основные реквизиты уже будут указаны. Дополнительную информацию для ввода можно найти на официальном интернет-ресурсе организации. Затем система попросит указать данные карты, с которой будет произведен платеж. Указав получателя, выбирают услугу и период оплаты, а также в специальное поле впечатывают номер лицевого счета.

С помощью раздела «ЖКХ и домашний телефон» производят оплату, отыскав организацию, которой будет произведен платеж по ИНН. Запрос при этом будет выглядеть как «Домофон-сервис», также можно ввести ИНН, узнав номер. Система автоматически выведет все схожие организации, с которыми работает банк, среди этого списка потребуется выбрать ту организацию, в которую направляют средства. Дальнейший ход процедуры прост:

• проверить реквизиты, при необходимости ввести коррективы;
• ввести номер лицевого счета;
• отметить вариант услуги;
• подтвердить факт оплаты.

Таким образом, процедура оплаты домофона превращается в элементарную операцию, которая доступна любому владельцу сбербанковской карты.

Стоит учесть, что данная услуга облагается комиссией в размере 1% от оплачиваемой суммы. Таким же образом можно совершать и другие коммунальные платежи.

Для подтверждения факта оплаты следует распечатать чек, потребуется принтер. Если принтера нет, в этом случае сохраняют электронную квитанцию. Для еще большего удобства проведения платежных операций можно подключить автоплатеж, в этом случае ежемесячно с карты будет списываться необходимая сумма. Настроить опцию можно в личном кабинете.

Дом.ру — провайдер обслуживает более 3 млн абонентов по всей России. Компания является частью большого холдинга ЭР-Телеком, который обеспечивает телекоммуникациями 57 населенных пункта на протяжении 20 лет. Сейчас детально предстоит разобраться в основных преимуществах провайдера Дом ру, какие есть тарифы на ТВ и интернет, как пользоваться личным кабинетом и многое другое.

Что чаще всего вы смотрите по телевизору Новостные передачи 0% Кино/мультфильмы 0% Развлекательные передачи 0% Не смотрю телевизор 0% Содержание

Здесь также находятся живые консультанты, которые быстро принимают меры для разрешения технических сбоев или неполадок. Следить за социальными сетями нужно для:

• информирования об акциях и горящих предложениях — иногда провайдер публикует данные о пробных пакетах или услугах;
• здесь есть интересный интерактив — публикуются и обсуждаются новости о пандемии, молодые родители могут получить бесплатную консультацию или поучаствовать в марафонах;
• проводятся розыгрыши, где можно получить хорошую скидку на оплату услуг или покупку у партнеров.

В комментариях можно оставить жалобу, отзыв, благодарность и претензию. Все социальные сети регулярно мониторятся руководителями региональных отделений, поэтому ни одна проблема не остается без внимания.

Дом.ru в ПермиПермь