IOActive hlásí více zranitelnosti v Belkin’s Wemo Authotation Devices. Doposud Belkin o této záležitosti mlčel, ale Cert nyní zveřejňuje své vlastní poradenské seznamu bezpečnostních nedostatků.
Je to nadměrná reakce na jednu z milionu možností, že někdo bude schopen hacknout vaše světla? Nebo je to jen tenký konec klínu, stejně jako čas pro automatizaci domu, stejně jako Business West of Things, aby se posadili a také se o bezpečnost opravdově zabezpečili? Podívejte se na video z minulých Nights Twit Security Now Podcast pro obě strany neshody a porozumění nám, čemu věříte v níže uvedených komentářích…
SEATTLE, USA – 18. února 2014 – IOActive, Inc., přední světový dodavatel odborných informačních bezpečnostních služeb, dnes odhalil, že odhalil několik zranitelnosti v gadgetech Belkin Wemo House Automation, které by mohly ovlivnit více než půl milionu uživatelů. Belkin’s Wemo využívá Wi-Fi a mobilní web k správě domácí elektroniky kdekoli na světě přímo ze smartphonu uživatelů.
Mike Davis, primární výzkumná studie IOActive, odkryla několik zranitelnosti v produktové sadě WEMO, která útočníkům poskytuje schopnost:
Vzdáleně spravovat automatizaci WEMO House Connected Gadgets přes internet
Proveďte aktualizace škodlivého firmwaru
Vzdáleně prověřuje gadgety (v některých případech)
Přístup k síti vnitřního domu
Davis řekl: „Když propojujeme naše domy s internetem, je pro dodavatele gadgetů internetu progresivně důležité zajistit, aby přiměřené metodologie zabezpečení byly přijímány na začátku cyklů postupu produktů. To zmírňuje expozici zákazníka a snižuje riziko. Dalším problémem je, že gadgety Wemo využívají pohybové senzory, které může útočník využít k vzdáleně obsazenosti obrazovky v domácnosti. “
Dopad
Zranitelnosti objevené v rámci gadgetů Belkin Wemo podrobí jednotlivcům řadě potenciálně drahých hrozeb, od požárů v domácnosti s možnými tragickými následky až po jednoduché promarnění elektřiny. Důvodem je to, že poté, co útočníci ohrožují zařízení WEMO, mohou být použity k vzdáleně otočení připojených gadgetů a vypnuto v každém typu času. Za předpokladu, že počet používaných gadgetů Wemo, je nesmírně pravděpodobné, že mnoho připojených spotřebičů i gadgetů bude bez dozoru, což zvyšuje hrozbu, kterou tyto zranitelnosti představují.
Navíc, když útočník navázal spojení s gadgetem Wemo v síti obětí; Gadget lze použít jako oporu k napadení dalších gadgetů, jako jsou notebooky, mobilní telefony a připojené síťové dat.
Zranitelnosti
Fotografie firmwaru Belkin WEMO, které se používají k aktualizaci gadgetů, jsou podepsány šifrováním veřejného klíče pro ochranu před neoprávněnými úpravami. Na firmware, který je již na zařízeních, se však prosakují klíč i heslo. To umožňuje útočníkům využívat přesně stejný podpisový klíč i heslo k indikaci jejich vlastního škodlivého firmwaru i kontroly zabezpečení během procesu aktualizace firmwaru.
Kromě toho gadgety Belkin Wemo neověřují certifikáty Secure Socket Layer (SSL), které jim brání v ověřování komunikace s Cloudovou službou Belkin včetně Firmware Update RSS Feed. To umožňuje útočníkům využívat jakýkoli typ certifikátu SSL k vydávání Belkin’s Cloud Services a také prosadit škodlivé aktualizace firmwaru a také zachytit přihlašovací údaje ve stejnou dobu. Vzhledem k integraci cloudu je aktualizace firmwaru tlačena do domu oběti bez ohledu na to, který párový gadget obdrží oznámení o aktualizaci nebo jeho fyzické umístění.
Web komunikační zařízení používaná pro komunikaci Gadgets Belkin Wemo jsou založeny na zneužívaném protokolu, který byl navržen pro využití služeb Voice Over Web Protocol) k obcházení omezení firewall nebo NAT. Dělá to metodou, která ohrožuje veškerou zabezpečení Wemo Gadgets vytvořením online WEMO DarkNet, kde mohou být všechny gadgety Wemo přímo propojeny; A s některým omezeným hádáním „tajného čísla“, spravovaného i bez útoku na aktualizaci firmwaru.
Rozhraní programování aplikací Belkin Wemo Server (API) bylo rovněž zjištěno, že je zranitelné vůči zranitelnosti inkluze XML, což by útočníkům umožnilo ohrozit všechna zařízení WEMO.
Poradní
Ioactive se cítí velmi silně o odpovědných zveřejněních a jako takové pečlivě fungovalo s Cert na zranitelnosti, které byly objeveny. Cert, který dnes zveřejní své vlastní poradenství, se o těchto otázkách obrátil na řadu pokusů kontaktovat Belkina, Belkin však nereagoval.
Vzhledem k tomu, že Belkin nevytvořil žádný typ oprav pro diskutované problémy, Ioactive cítil, že je důležité vydat radu i SuggeSTS Odpojení všech gadgetů z ovlivněných produktů WEMO.
[Aktualizace] Belkin nyní informoval, že „uživatelé s nejnovějším vydáním firmwaru (verze 3949) nejsou v nebezpečí pro škodlivé útoky firmwaru nebo vzdálené správu nebo sledování gadgetů Wemo z neoprávněných zařízení“. Aktualizujte svůj firmware hned teď.
Belkin.com: Wemo nabízí z Amazonu
Chcete víc? – Sledujte nás na Twitteru, jako jsme my na Facebooku, nebo se zaregistrujte do našeho RSS kanálu. Tyto zpravodajské příběhy můžete dokonce získat e -mailem, každý den přímo do vaší doručené pošty.
Sdílejte toto:
Facebook
Cvrlikání
Reddit
LinkedIn
Pinterest
E-mailem
Více
Whatsapp
Tisk
Skype
Tumblr
Telegram
Kapsa