IOactive raportează multiple vulnerabilități în varietatea de dispozitive de automatizare a casei Belkin. Până în prezent, Belkin a tăcut în această privință, dar Cert a publicat acum propriile sale consultații care listează defectele de securitate.
Este aceasta o reacție excesivă la o posibilitate de unul din milion ca cineva să vă poată pirata luminile? Sau este doar capătul subțire al panoului, precum și timpul pentru automatizarea caselor, precum și pentru web -uri de afaceri pentru a vă ocupa, precum și pentru a obține autentic despre securitate? Vedeți videoclipul din Nops Nights Twit Security Now Podcast pentru ambele părți ale dezacordului, apoi lăsați -ne să înțelegem ceea ce credeți în comentariile de mai jos …
SEATTLE, SUA – 18 februarie 2014 – IOactive, Inc., principalul furnizor mondial de servicii de securitate a informațiilor de experți, a dezvăluit astăzi că a descoperit mai multe vulnerabilități în gadgeturile de automatizare a casei Belkin Wemo care ar putea afecta peste jumătate de milion de utilizatori. WEMO de la Belkin utilizează Wi-Fi, precum și Web-ul mobil pentru a gestiona electronice de casă oriunde în lume direct de pe smartphone-ul utilizatorilor.
Mike Davis, omul de știință principal al studiului de cercetare al IOactive, a descoperit mai multe vulnerabilități în setul de produse WEMO care oferă atacatorilor capacitatea de a:
Gestionați de la distanță gadgeturi conectate de automatizare Wemo House pe internet
Efectuați actualizări de firmware rău intenționate
Ecranizați de la distanță gadgeturile (în unele cazuri)
Accesați o rețea de casă interioară
Davis a spus: „Pe măsură ce ne conectăm casele de internet, este importantă pentru furnizorii de gadgeturi internet-of-things pentru a se asigura că metodologiile de securitate rezonabile sunt cuprinse din timp în ciclurile de avansare a produselor. Acest lucru atenuează expunerea clientului lor, precum și reduce riscul. O altă preocupare este că gadgeturile WEMO folosesc senzori de mișcare, care pot fi folosiți de un atacator pentru a ocupa de la distanță ocuparea ecranului în casă. ”
Impactul
Vulnerabilitățile descoperite în cadrul gadgeturilor Belkin Wemo supune persoanelor fizice la o serie de amenințări potențial costisitoare, de la incendii de casă, cu posibile consecințe tragice până la simpla risipire a electricității. Motivul pentru aceasta este că, după ce atacatorii pun în pericol dispozitivele WEMO, ei pot fi utilizați pentru a transforma de la distanță gadgeturile conectate, precum și pentru a fi dezactivate la orice tip de timp. Cu condiția ca numărul de gadgeturi WEMO utilizate, este extrem de probabil ca multe dintre aparatele conectate, precum și gadgeturile să fie nesupravegheate, crescând astfel amenințarea prezentată de aceste vulnerabilități.
În plus, atunci când un atacator a stabilit o conexiune la un gadget WEMO în cadrul unei rețele de victime; Gadgetul poate fi utilizat ca punct de vedere pentru a asalt alte gadgeturi, cum ar fi laptopuri, telefoane mobile, precum și stocarea de date de rețea conectate.
Vulnerabilitățile
Imaginile de firmware Belkin Wemo care sunt utilizate pentru actualizarea gadgeturilor sunt semnate cu criptare a cheilor publice pentru a proteja împotriva modificărilor neautorizate. Cu toate acestea, cheia de semnare, precum și parola sunt scurse pe firmware -ul care este deja instalat pe dispozitive. Acest lucru permite atacatorilor să utilizeze exact aceeași cheie de semnare, precum și o parolă pentru a indica propriul lor firmware rău intenționat, precum și verificările de securitate de ocolire în timpul procesului de actualizare a firmware -ului.
În plus, gadgeturile Belkin WEMO nu validează certificatele Sigure Socket Layer (SSL) care le împiedică să valideze comunicațiile cu serviciul cloud al lui Belkin, inclusiv Firmware Update RSS Feed. Acest lucru permite atacatorilor să utilizeze orice tip de certificat SSL pentru a impune serviciile cloud ale Belkin, precum și pentru a împinge actualizări de firmware rău intenționate, precum și de a prinde acreditări în același timp. Din cauza integrării în cloud, actualizarea firmware -ului este împinsă către casa victimei, indiferent de care gadgetul pereche primește notificarea de actualizare sau locația sa fizică.
Facilitățile de comunicare web utilizate pentru a comunica gadgeturile Belkin Wemo se bazează pe un protocol abuzat care a fost proiectat pentru utilizarea serviciilor Voice Over Web Protocol (VoIP) pentru a ocoli firewall sau restricții NAT. Face acest lucru într -o metodă care compromite toată securitatea gadgeturilor WeMo prin producerea unui WeMo Online Darknet în care toate gadgeturile WEMO pot fi legate direct; și, cu o oarecare ghicire restrânsă a unui „număr secret”, gestionat chiar și fără atacul de actualizare a firmware -ului.
Interfața de programare a aplicațiilor Belkin Wemo Server (API) a fost, de asemenea, descoperită a fi vulnerabilă la o vulnerabilitate de incluziune XML, ceea ce ar permite atacatorilor să pună în pericol toate dispozitivele WEMO.
Consultativ
IOactive se simte extrem de puternic în ceea ce privește dezvăluirea responsabilă, precum și atare a lucrat cu atenție cu Cert la vulnerabilitățile descoperite. Cert, care va publica astăzi propriul său aviz, a făcut o serie de încercări de a -l contacta pe Belkin cu privire la problemele, cu toate acestea, Belkin nu a răspuns.
Datorită faptului că Belkin nu creează niciun tip de corecții pentru problemele discutate, IOactive a considerat că este important să elibereze un aviz, precum și SuggeSTS deconectează toate gadgeturile din produsele WEMO afectate.
[Actualizare] Belkin a recomandat acum că „utilizatorii cu cea mai recentă versiune de firmware (versiunea 3949) nu sunt în pericol pentru atacuri de firmware rău intenționate sau gestionarea sau urmărirea la distanță a gadgeturilor Wemo de pe dispozitive neautorizate”. Actualizați -vă acum firmware -ul.
Belkin.com: WeMo oferit de la Amazon
Vreau mai mult? – Urmați -ne pe Twitter, ca noi pe Facebook, sau înscrieți -vă la fluxul nostru RSS. Puteți primi chiar și aceste știri livrate prin e -mail, direct în căsuța de e -mail în fiecare zi.
Imparte asta:
Facebook
Stare de nervozitate
Reddit
LinkedIn
Pinterest
E-mail
Mai mult
WhatsApp
Imprimare
Skype
Tumblr
Telegramă
Buzunar