IOActive rapporterer flere sårbarheter i Belkins WEMO -variasjon av husautomatiseringsenheter. Så langt har Belkin vært taus om saken, men Cert har nå publisert sin egen rådgivende liste over sikkerhetsfeilene.
Er dette en overreaksjon til en en million mulighet for at noen kan hacke lysene dine? Eller er det bare den tynne enden av kilen, så vel som tid for husautomatisering samt tingenes virksomhet å sette seg opp i tillegg til å bli ekte om sikkerhet? Ta en titt på videoen av Twit Security Now -podcasten i går kveld for begge sider av uenigheten, så la oss forstå hva du tror på kommentarene nedenfor …
SEATTLE, USA – 18. februar 2014 – IOActive, Inc., den ledende verdensomspennende leverandøren av ekspertinfo -sikkerhetstjenester, avslørte i dag at det har avdekket flere sårbarheter i Belkin Wemo House Automation -dingser som kan påvirke over en halv million brukere. Belkins Wemo bruker Wi-Fi så vel som mobilnettet for å administrere huselektronikk hvor som helst i verden direkte fra brukernes smarttelefon.
Mike Davis, IOActive’s Primary Research Study Scientist, avdekket flere sårbarheter i WEMO -produktsettet som gir angripere muligheten til:
Administrer Wemo House Automation tilkoblede dingser over internett over internett
Utfør ondsinnede firmwareoppdateringer
Fjernt skjerm gadgets (i noen tilfeller)
Få tilgang til et interiør husnettverk
Davis sa: “Når vi kobler husene våre til Internett, er det gradvis viktig for internett-av-ting-leverandører for å sikre at rimelige sikkerhetsmetoder blir omfavnet tidlig i produktutviklingssykluser. Dette reduserer kundens eksponering og reduserer risikoen. En annen bekymring er at WEMO -dingsene bruker bevegelsessensorer, som kan brukes av en angriper til eksternt skjermbelegg i hjemmet. ”
Virkningen
Sårbarhetene som ble oppdaget i Belkin Wemo -dingsene, utsetter enkeltpersoner for en rekke potensielt dyre trusler, fra husbranner med mulige tragiske konsekvenser ned til den enkle strømmen av strøm. Årsaken til dette er at de, etter at angripere setter Wemo -enhetene i fare, kan brukes til å eksternt slå tilkoblede dingser på så vel som av i alle typer tid. Forutsatt antall WEMO -dingser som er i bruk, er det ekstremt sannsynlig at mange av de tilkoblede apparater så vel som dingser vil være uten tilsyn, og derfor øke trusselen som disse sårbarhetene har utført.
I tillegg, når en angriper har opprettet en forbindelse til en Wemo -dings i et ofre -nettverk; Gadgeten kan brukes som fotfeste for å angripe andre dingser som bærbare datamaskiner, mobiltelefoner, samt tilkoblet nettverksdatalagring.
Sårbarhetene
Belkin Wemo firmware -bilder som brukes til å oppdatere dingsene er signert med offentlig nøkkelkryptering for å beskytte mot uautoriserte modifikasjoner. Signeringsnøkkelen så vel som passord lekkes imidlertid på firmware som allerede er installert på enhetene. Dette gjør det mulig for angripere å bruke nøyaktig samme signeringstast, samt passord for å indikere sin egen ondsinnede firmware, samt omgå sikkerhetskontroller under firmwareoppdateringsprosessen.
I tillegg validerer ikke Belkin Wemo -dingser SSL) for sikre socket Layer (SSL) som forhindrer dem i å validere kommunikasjon med Belkins skytjeneste inkludert firmwareoppdateringen RSS -feed. Dette gjør det mulig for angripere å bruke enhver type SSL -sertifikat for å etterligne Belkins skytjenester, samt skyve ondsinnede firmwareoppdateringer, samt fange legitimasjon på nøyaktig samme tid. På grunn av skyintegrasjonen skyves firmwareoppdateringen til offerets hus uavhengig av hvilken sammenkoblet gadget mottar oppdateringsvarslingen eller dens fysiske beliggenhet.
Nettkommunikasjonsfasilitetene som brukes til å kommunisere Belkin Wemo -dingser er basert på en misbrukt protokoll som ble designet for bruk av Voice over Web Protocol (VoIP) -tjenester for å omgå brannmur eller NAT -begrensninger. Det gjør dette i en metode som kompromitterer alle Wemo Gadgets Security ved å produsere en online Wemo Darknet der alle Wemo -dingsene kan kobles direkte til direkte; Og med en viss begrenset gjetting av et ‘hemmelig nummer’, klarte selv uten firmwareoppdateringsangrepet.
Belkin Wemo Server Application Programming Interface (API) ble også oppdaget å være sårbar for et XML -inkluderingssårbarhet, noe som ville gjøre det mulig for angripere å sette alle WEMO -enheter i fare.
Rådgivende
IOActive føler seg ekstremt sterkt om ansvarlig avsløring, så vel som sådan arbeidet nøye med Cert på sårbarhetene som ble oppdaget. Cert, som skal publisere sin egen rådgivning i dag, gjorde en rekke forsøk på å kontakte Belkin om problemene, men Belkin reagerer imidlertid ikke.
På grunn av at Belkin ikke skapte noen form for rettelser for problemene som ble diskutert, følte IOActive det viktig å frigjøre en rådgivende så vel som SUGGESTS kobler fra alle dingser fra de påvirkede WEMO -produktene.
[OPPDATERING] Belkin har nå informert om at “brukere med den nyeste firmwareutgivelsen (versjon 3949) ikke er i fare for ondsinnede firmwareangrep eller fjernstyring eller sporing av WEMO -dingser fra uautoriserte enheter”. Oppdater firmware nå.
Belkin.com: Wemo tilbys fra Amazon
Ønsker mer? – Følg oss på Twitter, som oss på Facebook, eller registrer deg for RSS -feeden vår. Du kan til og med få disse nyhetshistoriene levert via e -post, direkte til innboksen hver dag.
Dele denne:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
E -post
Mer
Hva skjer
Skrive ut
Skype
Tumblr
Telegram
Lomme