IOActive báo cáo một số lỗ hổng trong các mô -đun tự động hóa Belkin Wemo House [Cập nhật]

IOActive đang báo cáo nhiều lỗ hổng trong các thiết bị tự động hóa nhà của Belkin. Cho đến nay, Belkin đã im lặng về vấn đề này nhưng Cert hiện đã xuất bản tư vấn của riêng mình liệt kê các lỗ hổng bảo mật.

Đây có phải là một phản ứng quá mức đối với một trong một triệu khả năng ai đó có thể hack đèn của bạn? Hay đó chỉ là kết thúc mỏng của cái nêm cũng như thời gian cho tự động hóa nhà cũng như web của những thứ kinh doanh để ngồi dậy cũng như có được sự thật về an ninh? Kiểm tra video của đêm qua, Twit Security bây giờ cho cả hai bên của sự bất đồng sau đó cho chúng tôi hiểu những gì bạn tin vào các bình luận bên dưới

SEATTLE, Hoa Kỳ – 18 tháng 2 năm 2014 – IOActive, Inc., nhà cung cấp dịch vụ bảo mật thông tin chuyên gia hàng đầu trên toàn thế giới, hôm nay đã tiết lộ rằng họ đã phát hiện ra một số lỗ hổng trong các tiện ích tự động hóa của Belkin Wemo House có thể ảnh hưởng đến hơn nửa triệu người dùng. Belkin sườn Wemo sử dụng Wi-Fi cũng như web di động để quản lý các thiết bị điện tử House ở bất cứ đâu trên thế giới trực tiếp từ điện thoại thông minh của người dùng.

Mike Davis, nhà khoa học nghiên cứu chính của IOActive, đã phát hiện ra một số lỗ hổng trong bộ sản phẩm WEMO cung cấp cho những kẻ tấn công khả năng:

Quản lý từ xa các thiết bị kết nối tự động hóa nhà Wemo trên Internet

Thực hiện cập nhật phần sụn độc hại

Sàng lọc từ xa các tiện ích (trong một số trường hợp)

Truy cập mạng nội thất nhà

Davis cho biết, khi chúng tôi liên kết các ngôi nhà của mình với Internet, điều này rất quan trọng đối với các nhà cung cấp tiện ích Internet để đảm bảo rằng các phương pháp bảo mật hợp lý được chấp nhận sớm trong các chu kỳ tiến bộ sản phẩm. Điều này giảm thiểu sự tiếp xúc của khách hàng cũng như giảm rủi ro. Một mối quan tâm khác là các thiết bị WEMO sử dụng các cảm biến chuyển động, có thể được sử dụng bởi kẻ tấn công để chiếm chỗ trên màn hình từ xa trong nhà.

Sự va chạm

Các lỗ hổng được phát hiện trong các thiết bị Wemo của Belkin đối với các cá nhân đối với một số mối đe dọa có thể tốn kém, từ các vụ cháy nhà với những hậu quả bi thảm có thể xảy ra đối với sự lãng phí điện thoại đơn giản. Lý do cho điều này là, sau khi những kẻ tấn công gây nguy hiểm cho các thiết bị WEMO, chúng có thể được sử dụng để bật các tiện ích kết nối từ xa cũng như tắt bất kỳ thời điểm nào. Với số lượng các thiết bị WEMO được sử dụng, rất có khả năng nhiều thiết bị được kết nối cũng như các tiện ích sẽ không được giám sát, do đó làm tăng mối đe dọa do các lỗ hổng này gây ra.

Ngoài ra, khi một kẻ tấn công đã thiết lập một kết nối với tiện ích Wemo trong mạng lưới nạn nhân; Tiện ích có thể được sử dụng làm chỗ đứng để tấn công các tiện ích khác như máy tính xách tay, điện thoại di động, cũng như lưu trữ dữ liệu mạng được kết nối.

Các lỗ hổng

Các hình ảnh phần sụn Belkin Wemo được sử dụng để cập nhật các tiện ích được ký hợp đồng với mã hóa khóa công khai để bảo vệ chống lại các sửa đổi trái phép. Tuy nhiên, khóa ký cũng như mật khẩu bị rò rỉ trên phần sụn đã được cài đặt trên các thiết bị. Điều này cho phép kẻ tấn công sử dụng khóa ký kết chính xác cũng như mật khẩu để chỉ ra phần sụn độc hại cũng như bỏ qua kiểm tra bảo mật trong quá trình cập nhật chương trình cơ sở.

Ngoài ra, các tiện ích Belkin Wemo không xác nhận các chứng chỉ Lớp ổ cắm an toàn (SSL) ngăn không cho chúng xác thực liên lạc với dịch vụ đám mây của Belbelkin, bao gồm cả nguồn cấp dữ liệu RSS cập nhật chương trình cơ sở. Điều này cho phép những kẻ tấn công sử dụng bất kỳ loại chứng chỉ SSL nào để mạo danh các dịch vụ đám mây của Belkin, cũng như đẩy các bản cập nhật phần sụn độc hại cũng như nắm bắt thông tin xác thực cùng một lúc. Do tích hợp đám mây, bản cập nhật phần sụn được đẩy đến nhà nạn nhân, bất kể tiện ích được ghép nối nào nhận được thông báo cập nhật hoặc vị trí thực tế của nó.

Các cơ sở truyền thông web được sử dụng để truyền đạt các tiện ích Belkin Wemo dựa trên một giao thức bị lạm dụng được thiết kế để sử dụng bởi các dịch vụ của Voice Over Protocol (VoIP) để bỏ qua các hạn chế tường lửa hoặc NAT. Nó thực hiện điều này trong một phương pháp thỏa hiệp tất cả các tiện ích WEMO bằng cách sản xuất Wemo Darknet trực tuyến, nơi tất cả các tiện ích WEMO có thể được liên kết trực tiếp; Và, với một số dự đoán hạn chế về một số bí mật, được quản lý ngay cả khi không có cuộc tấn công cập nhật chương trình cơ sở.

Giao diện lập trình ứng dụng máy chủ Belkin Wemo (API) cũng được phát hiện là dễ bị tổn thương với lỗ hổng bao gồm XML, cho phép kẻ tấn công gây nguy hiểm cho tất cả các thiết bị WEMO.

Tham mưu

IOActive cảm thấy cực kỳ mạnh mẽ về việc tiết lộ có trách nhiệm cũng như như vậy đã làm việc cẩn thận với CERT về các lỗ hổng được phát hiện. Cert, sẽ xuất bản tư vấn của riêng mình ngày hôm nay, đã thực hiện một số nỗ lực liên hệ với Belkin về các vấn đề, tuy nhiên, Belkin không phản hồi.

Do Belkin không tạo ra bất kỳ loại bản sửa lỗi nào cho các vấn đề được thảo luận, IOActive cảm thấy điều quan trọng là phát hành một lời khuyên cũng như suggeSTS rút phích cắm tất cả các tiện ích từ các sản phẩm WEMO bị ảnh hưởng.

. Cập nhật chương trình cơ sở của bạn ngay bây giờ.

Belkin.com: Wemo được cung cấp từ Amazon

Muốn thêm? – Theo dõi chúng tôi trên Twitter, như chúng tôi trên Facebook hoặc đăng ký nguồn cấp dữ liệu RSS của chúng tôi. Bạn thậm chí có thể nhận được những câu chuyện tin tức này được gửi qua email, trực tiếp đến hộp thư đến của bạn mỗi ngày.

Chia sẻ cái này:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
E-mail
Hơn

WhatsApp
In

Ứng dụng trò chuyện
Tumblr

Telegram
Túi

Leave a Reply

Your email address will not be published. Required fields are marked *