IOACTION מדווחים על פגיעויות מרובות במגוון ה- WEMO של בלקין של מכשירי אוטומציה לבית. עד כה שקט בלקין בעניין, אך CERT מפרסמת כעת ייעוץ משלה המייעצת את פגמי האבטחה.
האם זו תגובת יתר לאפשרות אחת למיליון שמישהו יוכל לפרוץ את האורות שלך? או שמא זה רק הקצה הדק של טריז כמו גם זמן לאוטומציה של הבית כמו גם Web of Things Business לשבת כמו גם להיות אמיתי לגבי אבטחה? בדוק את הסרטון של פודקאסט Now Twit Security Now Twit לשני צידי המחלוקת ואז תן לנו להבין מה אתה מאמין בתגובות למטה …
סיאטל, ארה”ב – 18 בפברואר 2014 – IOACTIVE, Inc., הספק המוביל ברחבי העולם של שירותי אבטחת מידע מומחים, חשף היום כי היא חשפה מספר פגיעויות בגאדג’טים אוטומציה של בלקין וו -בית שעשויים להשפיע על למעלה מחצי מיליון משתמשים. WEMO של בלקין משתמש ב- Wi-Fi כמו גם באינטרנט הנייד לניהול אלקטרוניקה בתים בכל מקום בעולם ישירות מהסמארטפון של המשתמשים.
מייק דייוויס, מדען המחקר העיקרי של IOACTION, חשף מספר פגיעויות במערכת המוצרים של WEMO המספקת לתוקפים את היכולת:
לנהל מרחוק גאדג’טים מחוברים לאוטומציה של Wemo House דרך האינטרנט
בצע עדכוני קושחה זדוניים
מסך מרחוק את הגאדג’טים (במקרים מסוימים)
גש לרשת בית פנים
דייוויס אמר, “כשאנחנו מקשרים את בתיהם לאינטרנט, זה חשוב בהדרגה עבור ספקי הגאדג’טים באינטרנט-דברים כדי להבטיח שמתודולוגיות אבטחה סבירות יחובקו בשלב מוקדם של מחזורי קידום המוצרים. זה מקטין את החשיפה של הלקוח שלהם ומפחית את הסיכון. דאגה נוספת היא שגאדג’טים של WEMO משתמשים בחיישני תנועה, שיכולים להשתמש בהם על ידי תוקף כדי למסך מרחוק את התפוסה בתוך הבית. ”
ההשפעה
הפגיעויות שהתגלו בתוך גאדג’טים של בלקין וומו מכניסים אנשים למספר איומים שעלולים להיות יקרים, החל משריפות בית עם השלכות טרגיות אפשריות ועד לדיבוי הפשוט של החשמל. הסיבה לכך היא שאחרי התוקפים מסכנים את מכשירי WEMO, ניתן להשתמש בהם כדי להפעיל מרחוק גאדג’טים מחוברים כמו גם בכל סוג של זמן. בתנאי שמספר גאדג’טים של WEMO בשימוש, סביר להניח כי רבים מהמכשירים המחוברים כמו גם הגאדג’טים לא יושגו, ולכן יגדילו את האיום שמציב פגיעויות אלה.
בנוסף, כאשר תוקף קבע קשר לגאדג’ט WEMO בתוך רשת קורבנות; ניתן להשתמש בגאדג’ט כדריסת רגל כדי לתקוף גאדג’טים אחרים כמו מחשבים ניידים, טלפונים ניידים וכן אחסון נתוני רשת מחוברים.
הפגיעויות
תמונות הקושחה של Belkin Wemo המשמשות לעדכון הגאדג’טים נחתמות בהצפנת מפתח ציבורית להגנה מפני שינויים בלתי מורשים. עם זאת, מפתח החתימה כמו גם הסיסמה מודלפים בקושחה שכבר מותקנת במכשירים. זה מאפשר לתוקפים לנצל את אותו מפתח חתימה בדיוק כמו גם סיסמא כדי להתאים את הקושחה הזדונית שלהם כמו גם בדיקות אבטחה לעקוף במהלך תהליך עדכון הקושחה.
בנוסף, גאדג’טים של Belkin Wemo אינם מאמתים תעודות SSL (SSL Layer Layer (SSL) המונעות מהם לאמת תקשורת עם שירות הענן של תקשורת עם אבלין כולל עדכון הקושחה RSS Feed. זה מאפשר לתוקפים להשתמש בכל סוג של תעודת SSL כדי להתחזות לשירותי הענן של בלקין כמו גם לדחוף עדכוני קושחה זדוניים כמו גם לתפוס אישורים בדיוק באותו זמן. בגלל שילוב הענן, עדכון הקושחה נדחף לבית הקורבן ללא קשר לגאדג’ט מזווג מקבל את הודעת העדכון או את מיקומו הפיזי.
מתקני התקשורת באינטרנט המשמשים לתקשורת גאדג’טים של Belkin Wemo מבוססים על פרוטוקול שעבר התעללות שתוכנן לשימוש על ידי שירותי פרוטוקול אינטרנט (VoIP) כדי לעקוף את חומת האש או מגבלות NAT. זה עושה זאת בשיטה הפוגעת בכל האבטחה של כל גאדג’טים של WEMO על ידי הפקת WEMO Darknet מקוון, שם ניתן לקשר ישירות את כל גאדג’טים של WEMO; ועם כמה ניחושים מוגבלים על ‘מספר סודי’, המנוהל גם ללא התקפת עדכון הקושחה.
ממשק תכנות היישומים של שרת Wemo Wemo (API) התגלה גם כפגיע לפגיעות בהכללת XML, מה שיאפשר לתוקפים לסכן את כל מכשירי WEMO.
ייעוץ
IOACTION מרגיש מאוד חזק לגבי גילוי אחראי, כמו גם ככזה עבד בזהירות עם אישור על הפגיעויות שהתגלו. CERT, שתפרסם היום ייעוץ משלה, עשתה מספר ניסיונות לפנות לבלקין בנושאים, אולם בלקין לא הגיב.
בגלל שבלקין לא יצר כל סוג של תיקונים לבעיות שנדונו, יואקטיב חש שחשוב לשחרר ייעוץ כמו גם SUGGESTS מנתק את כל הגאדג’טים ממוצרי WEMO שנפגעו.
[עדכון] בלקין הודיעו כעת כי “משתמשים עם שחרור הקושחה האחרון (גרסה 3949) אינם בסכנה להתקפות קושחה זדוניות או לניהול או מעקב מרחוק של גאדג’טים של WEMO ממכשירים לא מורשים”. עדכן את הקושחה שלך עכשיו.
belkin.com: Wemo המוצע מאמזון
רוצה יותר? – עקוב אחרינו בטוויטר, כמונו בפייסבוק, או הירשם לעדכון ה- RSS שלנו. אתה יכול אפילו להעביר את סיפורי החדשות האלה באמצעות דואר אלקטרוני, ישירות לתיבת הדואר הנכנס שלך בכל יום.
שתף זאת:
פייסבוק
טוויטר
Reddit
לינקדאין
פינטרסט
אימייל
יותר
WhatsApp
הדפס
סקייפ
טאמבלר
מִברָק
כִּיס