IOActive rapporterer flere sårbarheder i Belkins WEMO -forskellige husautomatiseringsenheder. Indtil videre har Belkin været tavs om sagen, men CERT har nu offentliggjort sin egen rådgivende liste over sikkerhedsfejlene.
Er dette en overreaktion på en en ud af en million mulighed for, at nogen er i stand til at hacke dine lys? Eller er det bare den tynde ende af kilen såvel som tid til husautomation såvel som web af ting, som er forretning at sidde op og få ægte om sikkerhed? Tjek videoen af Last Nights Twit Security Now Podcast for begge sider af uenigheden, lad os derefter forstå, hvad du tror på kommentarerne nedenfor …
SEATTLE, USA – 18. februar 2014 – IOActive, Inc., den førende verdensomspændende leverandør af ekspertinfo -sikkerhedstjenester, afslørede i dag, at det har afsløret flere sårbarheder i Belkin Wemo House Automation Gadgets, der muligvis kan påvirke over en halv million brugere. Belkins WEMO bruger Wi-Fi såvel som den mobile web til at styre huselektronik overalt i verden direkte fra brugernes smartphone.
Mike Davis, IOActive’s Primary Research Study Scientist, afslørede adskillige sårbarheder i WEMO -produktsættet, der giver angribere mulighed for at:
Forvalt eksternt WEMO House Automation Connected Gadgets over internettet
Udfør ondsindede firmwareopdateringer
Skærm gadgets (i nogle tilfælde)
Få adgang til et interiørhusnetværk
Davis sagde: ”Når vi forbinder vores huse til Internettet, er det gradvist vigtigt for internet-of-thing-gadget-leverandører for at sikre, at rimelige sikkerhedsmetoder omfavnes tidligt i produktfremmende cyklusser. Dette mindsker deres kundes eksponering såvel som reducerer risikoen. En anden bekymring er, at WEMO -gadgets bruger bevægelsessensorer, som kan bruges af en angriber til eksternt skærmbelægning i hjemmet. ”
Sammenstødet
De sårbarheder, der blev opdaget inden for Belkin Wemo -gadgets, udsætter individer for en række potentielt dyre trusler, fra husbrande med mulige tragiske konsekvenser ned til den enkle strømning af elektricitet. Årsagen til dette er, at de, efter at angribere bringer WEMO -enhederne i fare, bruges til fjernt at slå tilsluttede gadgets såvel som fra på enhver tid. Forudsat at antallet af WEMO -gadgets, der er i brug, er det ekstremt sandsynligt, at mange af de tilsluttede apparater såvel som gadgets vil være uden opsyn, hvilket øger den trussel, som disse sårbarheder udgør.
Når en angriber har etableret en forbindelse til en Wemo -gadget inden for et ofrenes netværk; Gadgeten kan bruges som fodfæste til at angribe andre gadgets såsom bærbare computere, mobiltelefoner samt tilsluttet netværksdatalagring.
Sårbarhederne
Belkin Wemo firmwarebilleder, der bruges til at opdatere gadgets, er underskrevet med offentlig nøglekryptering for at beskytte mod uautoriserede ændringer. Imidlertid lækkes underskrivningstasten såvel som adgangskode på den firmware, der allerede er installeret på enhederne. Dette gør det muligt for angribere at bruge den nøjagtige samme underskrivelsesnøgle såvel som adgangskode til at indikere deres egen ondsindede firmware samt omgå sikkerhedskontrol under firmwareopdateringsprocessen.
Derudover validerer Belkin Wemo Gadgets ikke Secure Socket Layer (SSL) -certifikater, der forhindrer dem i at validere kommunikation med Belkins Cloud Service inklusive firmwareopdatering RSS -feed. Dette gør det muligt for angribere at bruge enhver form for SSL -certifikat til at efterligne Belkins cloud -tjenester samt skubbe ondsindede firmwareopdateringer samt fange legitimationsoplysninger på nøjagtigt samme tid. På grund af cloud -integrationen skubbes firmwareopdateringen til offerets hus, uanset hvilken parret gadget modtager opdateringsmeddelelsen eller dens fysiske placering.
Webkommunikationsfaciliteterne, der bruges til at kommunikere Belkin Wemo Gadgets, er baseret på en misbrugt protokol, der var designet til at bruge Voice over Web Protocol (VOIP) -tjenester til at omgå firewall- eller NAT -begrænsninger. Det gør dette i en metode, der kompromitterer alle WEMO -gadgets -sikkerhed ved at producere en online Wemo Darknet, hvor alle Wemo -gadgets kan knyttes til direkte; og med en vis begrænset gæt af et ‘hemmeligt nummer’, administreret selv uden firmwareopdateringsangreb.
Belkin Wemo Server Application Programming Interface (API) blev ligeledes opdaget at være sårbar over for en XML -inkluderingssårbarhed, hvilket ville gøre det muligt for angribere at bringe alle WEMO -enheder i fare.
Rådgivende
Ioactive føles ekstremt stærkt over ansvarlig afsløring såvel som sådan, der blev arbejdet omhyggeligt med certifikat om de sårbarheder, der blev opdaget. Cert, der vil offentliggøre sin egen rådgivning i dag, gjorde en række forsøg på at kontakte Belkin om problemerne, men Belkin reagerede imidlertid ikke.
På grund af at Belkin ikke skabte nogen form for rettelser til de diskuterede problemer, følte IoActive det vigtigt at frigive en rådgivende såvel som SuggeSTS frakobler alle gadgets fra de påvirkede WEMO -produkter.
[Opdatering] Belkin har nu rådgivet om, at “brugere med den seneste firmwareudgivelse (version 3949) ikke er i fare for ondsindede firmwareangreb eller fjernstyring eller sporing af WEMO -gadgets fra uautoriserede enheder”. Opdater din firmware nu.
Belkin.com: Wemo tilbød fra Amazon
Ønsker mere? – Følg os på Twitter, som os på Facebook, eller tilmeld dig vores RSS -feed. Du kan endda få disse nyhedshistorier leveret via e -mail, direkte til din indbakke hver dag.
Del dette:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
E -mail
Mere
Whatsapp
Print
Skype
Tumblr
Telegram
Lomme
