IOActive rapporterar flera sårbarheter i Belkins WEMO -olika hustautomationsapparater. Hittills har Belkin varit tyst i frågan men Cert har nu publicerat sin egen rådgivning med säkerhetsfel.
Är detta en överreaktion på en i en miljon möjlighet att någon kan hacka dina lampor? Eller är det bara den tunna änden av kilen såväl som tid för hus automatisering såväl som webben av saker som ska sitta upp och bli äkta om säkerhet? Kolla in videon från Last Nights Twit Security Now Podcast för båda sidor av oenigheten och låt oss förstå vad du tror på kommentarerna nedan …
SEATTLE, USA – 18 februari 2014 – IOACTIVE, Inc., den ledande globala leverantören av expertinfo -säkerhetstjänster, avslöjade idag att det har avslöjat flera sårbarheter i Belkin Wemo House Automation -prylar som kan påverka en halv miljon användare. Belkins WEMO använder Wi-Fi såväl som den mobila webben för att hantera huselektronik var som helst i världen direkt från användarnas smartphone.
Mike Davis, Ioact’s primära forskningsforskare, avslöjade flera sårbarheter i WEMO -produktuppsättningen som ger angripare förmågan att:
HANTERA ATT HANTERA WEMO HOUSE Automation Anslutna prylar över Internet
Utför skadliga firmware -uppdateringar
Sök på distans (i vissa fall) på distans) (i vissa fall)
Åtkomst till ett inre husnätverk
Davis sa: ”När vi kopplar våra hus till internet är det gradvis viktigt för internet-av-saker-gadgetförsäljare för att säkerställa att rimliga säkerhetsmetoder omfamnas tidigt i produktutvecklingscykler. Detta mildrar kundens exponering och minskar risken. En annan oro är att WEMO -prylarna använder rörelsessensorer, som kan användas av en angripare för att fjärranslutas i hemmet. ”
Inverkan
De sårbarheter som upptäcktes inom Belkin Wemo -prylar utsätter individer för ett antal potentiellt dyra hot, från husbränder med möjliga tragiska konsekvenser ner till den enkla sliparen av el. Anledningen till detta är att de, efter attackerare äventyrar WEMO -enheterna, kan användas för att på distans påverka anslutna prylar såväl som av när som helst. Förutsatt att antalet WEMO -prylar som används är det oerhört troligt att många av de anslutna apparaterna såväl som prylar kommer att vara obevakade, vilket därför ökar hotet som dessa sårbarheter utgör.
Dessutom, när en angripare har etablerat en anslutning till en WEMO -gadget inom ett offernätverk; Gadgeten kan användas som fotfäste för att attackera andra prylar som bärbara datorer, mobiltelefoner samt ansluten nätverksdatalagring.
Sårbarheterna
Belkin WEMO -firmwarebilder som används för att uppdatera prylarna är undertecknade med offentlig nyckelkryptering för att skydda mot obehöriga ändringar. Men signeringsnyckeln såväl som lösenord läcker ut på firmware som redan är installerad på enheterna. Detta gör det möjligt för angripare att använda exakt samma signeringsnyckel såväl som lösenord för att indikera sin egen skadliga firmware samt kringgå säkerhetskontroller under firmware -uppdateringsprocessen.
Dessutom validerar inte Belkin WEMO -prylar Secure Socket Layer (SSL) certifikat som förhindrar att de validerar kommunikation med Belbelins molntjänst inklusive firmware -uppdatering RSS -flödet. Detta gör det möjligt för angripare att använda alla typer av SSL -certifikat för att efterge sig Belkins molntjänster samt driva skadliga firmware -uppdateringar samt fånga referenser på exakt samma tid. På grund av molnintegrationen skjuts firmwareuppdateringen till offrets hus oavsett vilket parad gadget får uppdateringsmeddelandet eller dess fysiska plats.
Webkommunikationsanläggningar som används för att kommunicera Belkin WEMO -prylar är baserat på ett misshandlat protokoll som designades för att använda Voice Over Web Protocol (VOIP) -tjänster till Bypass Firewall eller NAT Restrictions. Det gör detta i en metod som komprometterar alla WEMO -prylar säkerhet genom att producera ett online WEMO Darknet där alla WEMO -prylar kan kopplas till direkt; Och med en viss begränsad gissning av ett “hemligt nummer”, hanteras även utan firmware -uppdateringsattacken.
Belkin WEMO Server Application Programmering Interface (API) upptäcktes också vara sårbar för en XML -inkluderingssårbarhet, vilket skulle göra det möjligt för angripare att äventyra alla WEMO -enheter.
Rådgivande
IoActive känns extremt starkt om ansvarsfull avslöjande såväl som att sådan arbetade noggrant med certifikat för de sårbarheter som upptäcktes. Cert, som kommer att publicera sin egen rådgivning idag, gjorde ett antal försök att kontakta Belkin om frågorna, men Belkin svarade dock inte.
På grund av att Belkin inte skapade någon typ av korrigeringar för de diskuterade problemen, ansåg ioaktiv det viktigt att släppa en rådgivning såväl som SuggeSTS kopplar ur alla prylar från de påverkade WEMO -produkterna.
[UPDATE] Belkin har nu meddelat att ”användare med den senaste utgåvan för firmware (version 3949) inte är på fara för skadliga firmwareattacker eller fjärrhantering eller spårning av WEMO -prylar från obehöriga enheter”. Uppdatera din firmware nu.
Belkin.com: WEMO erbjuds från Amazon
Vill ha mer? – Följ oss på Twitter, som oss på Facebook, eller registrera dig för vårt RSS -flöde. Du kan till och med få dessa nyheter levererade via e -post, direkt till din inkorg varje dag.
Dela detta:
Facebook
Twitter
Reddit
Linkedin
Pinterest
E-post
Mer
Whatsapp
Skriva ut
Skype
Tumblr
Telegram
Ficka