IoActive zgłaszają wiele luk w różnych urządzeniach automatycznych domów Belkina. Do tej pory Belkin milczał w tej sprawie, ale Cert opublikował teraz własne poradnictwo, wymieniając wady bezpieczeństwa.
Czy jest to nadmierna reakcja dla jednej na milion możliwości, że ktoś będzie w stanie zhakować twoje światła? A może jest to tylko cienki koniec klina, a także czas na automatyzację domu, a także sieć w Internecie rzeczy, a także autentyczne bezpieczeństwo? Sprawdź wideo z ostatniej nocy podcast Security Now dla obu stron tego nieporozumienia, a następnie pozwól nam zrozumieć, co wierzysz w komentarze poniżej…
Seattle, USA – 18 lutego 2014 r. – Ioactive, Inc., wiodący światowy dostawca usług bezpieczeństwa informacji ekspertów, ujawnił dziś, że odkrył kilka luk w gadżetach Automatyzacji House House Belkin Wemo, które mogą mieć wpływ na ponad pół miliona użytkowników. WEMO Belkina wykorzystuje Wi-Fi, a także mobilną sieć do zarządzania elektroniką domową w dowolnym miejscu na świecie bezpośrednio ze smartfona użytkowników.
Mike Davis, naukowcy z podstawowego badania IOActive, odkrył kilka luk w zestawie produktów WEMO, który zapewnia atakującym możliwość:
Zdalnie zarządzaj gadżetami połączonymi Automatyzacją WEMO House przez Internet
Wykonuj złośliwe aktualizacje oprogramowania układowego
Zdalnie sprawdzaj gadżety (w niektórych przypadkach)
Uzyskaj dostęp do sieci domów wewnętrznych
Davis powiedział: „Gdy łączymy nasze domy z Internetem, stopniowo ważne jest dla dostawców gadżetów z Internetu Things, aby zapewnić, że rozsądne metodologie bezpieczeństwa zostaną przyjęte na wczesnym etapie cykli rozwoju produktu. To łagodzi ekspozycję ich klienta, a także zmniejsza ryzyko. Innym problemem jest to, że gadżety WEMO wykorzystują czujniki ruchu, które napastnik mogą wykorzystać do zdalnego obłożenia w domu. ”
Wpływ
Ochrona przedsiębiorstw odkrytych w gadżetach Belkin Wemo podlegają wielu potencjalnie drogim zagrożeniom, od pożarów domowych z możliwymi tragicznymi konsekwencjami po prostym marnotrawstwie elektryczności. Powodem tego jest to, że po tym, jak atakujący zagrozi urządzeniom WEMO, można je wykorzystać do zdalnego włączenia połączonych gadżetów, a także w dowolnym czasie. Pod warunkiem, że liczba używanych gadżetów WEMO, jest niezwykle prawdopodobne, że wiele połączonych urządzeń i gadżetów nie będzie opieki, zwiększając w ten sposób zagrożenie związane z tymi lukami.
Ponadto, gdy atakujący nawiązał połączenie z gadżetem WEMO w sieci ofiar; Gadżet można wykorzystać jako przyczółek do atakowania innych gadżetów, takich jak laptopy, telefony komórkowe, a także podłączone przechowywanie danych sieciowych.
Słabości
Zdjęcia oprogramowania układowego Belkin WEMO, które są wykorzystywane do aktualizacji gadżetów, są podpisywane z szyfrowaniem klucza publicznego w celu ochrony przed nieautoryzowanymi modyfikacjami. Jednak klawisz podpisywania, a także hasło są wyciekane na oprogramowaniu układowym, które jest już zainstalowane na urządzeniach. Umożliwia to atakującym wykorzystanie dokładnie tego samego klucza podpisania, a także hasła do wskazania własnego złośliwego oprogramowania układowego, a także ominięcia kontroli bezpieczeństwa podczas procesu aktualizacji oprogramowania układowego.
Ponadto gadżety Belkin WEMO nie sprawdzają certyfikatów Secure Socket Layer (SSL), które uniemożliwiają im sprawdzanie walidacji komunikacji z usługą chmurową, w tym kanał RSS aktualizacji oprogramowania układowego. Umożliwia to atakującym wykorzystanie dowolnego rodzaju certyfikatu SSL w celu podszywania się pod usługami chmurowymi Belkin, a także przesuwanie złośliwych aktualizacji oprogramowania układowego, a także przyciągania poświadczeń w tym samym czasie. Ze względu na integrację w chmurze aktualizacja oprogramowania układowego jest popychana do domu ofiary, niezależnie od tego, który sparowany gadżet otrzymuje powiadomienie o aktualizacji lub jego fizyczna lokalizacja.
Urządzenia do komunikacji internetowej wykorzystywane do komunikacji Belkin WEMO Gadgets oparte są na wykorzystywanym protokole zaprojektowanym do wykorzystywania przez usługi Voice Over Web Protocol (VOIP) w celu ominięcia zapory ogniowej lub ograniczeń NAT. Robi to metodą, która zagraża wszystkim bezpieczeństwu WEMO gadżetów, tworząc online WEMO Darknet, w którym wszystkie gadżety WEMO można połączyć bezpośrednio; I z pewnym ograniczonym zgadaniem „tajnego numeru”, zarządzanego nawet bez ataku na oprogramowanie układowe.
Odkryto również, że interfejs programowania aplikacji Belkin WEMO Server (API) jest podatny na podatność na włączenie XML, co pozwoliłoby atakującemu za niebezpieczeństwo urządzeń WEMO.
Doradczy
IoActive bardzo mocno czuje odpowiedzialne ujawnienie, a także takie jak takie, które działały ostrożnie z certyfikatem odkrytych luk w zabezpieczeniach. Cert, który dzisiaj opublikuje własną poradę, podjął szereg prób skontaktowania się z Belkinem w sprawach, jednak Belkin nie reagował.
Ponieważ Belkin nie tworzy żadnych poprawek do omawianych problemów, IoActive uważał, że ważne jest uwolnienie doradcy, a także suggeSTS Odłączanie wszystkich gadżetów od dotkniętych produktów WEMO.
[Aktualizacja] Belkin poinformował teraz, że „użytkownicy z najnowszą wersją oprogramowania układowego (wersja 3949) nie są w niebezpieczeństwie dla złośliwych ataków oprogramowania układowego lub zdalnego zarządzania lub śledzenia gadżetów WEMO z nieautoryzowanych urządzeń”. Zaktualizuj swoje oprogramowanie teraz.
Belkin.com: WEMO oferowany z Amazon
Chcieć więcej? – Śledź nas na Twitterze, jak my na Facebooku lub zapisz nasz kanał RSS. Możesz nawet dostarczyć te wiadomości dostarczane za pośrednictwem poczty elektronicznej, bezpośrednio do skrzynki odbiorczej każdego dnia.
Udostępnij to:
Facebook
Świergot
Reddit
LinkedIn
Pinterest
E-mail
Więcej
WhatsApp
Wydrukować
Skype
Tumblr
Telegram
Kieszeń