IOaktiiviset raportoivat useita haavoittuvuuksia Belkin Wemo House -automaatiomoduuleissa [päivitetyt]

IOaktiiviset raportoivat useita haavoittuvuuksia Belkinin Wemo -lajikkeissa talon automaatiolaitteita. Toistaiseksi Belkin on ollut hiljaa asiasta, mutta CERT on nyt julkaissut oman neuvoa -antavan tietoturvavirheiden luetteloon.

Onko tämä liiallinen reaktio yhdelle miljoonasta mahdollisuudesta, että joku pystyy hakkeroimaan valojasi? Vai onko se vain kiilan ohut pää, samoin kuin talon automaatio sekä asiat, jotka ovat yrityksiä istua ja saadakseen aitoja turvallisuutta? Katso viime yön video Twit Security Now Podcast -sovelluksesta erimielisyyden molemmille puolille, anna meidän ymmärtää, mitä uskot alla oleviin kommentteihin …

SEATTLE, USA – 18. helmikuuta 2014 – IOACIAN, Inc., joka on asiantuntija -tietoturvapalvelujen johtava maailmanlaajuinen toimittaja, paljasti tänään, että se on paljastanut useita haavoittuvuuksia Belkin Wemo House -automaatiovälineissä, jotka saattavat vaikuttaa yli puoleen miljoonaan käyttäjään. Belkinin Wemo käyttää Wi-Fi: tä sekä mobiiliverkkoa House Electronicsin hallintaan kaikkialla maailmassa suoraan käyttäjien älypuhelimesta.

Mike Davis, IOAGIA: n ensisijainen tutkimustutkimustieteilijä, paljasti useita WEMO -tuotejoukon haavoittuvuuksia, jotka tarjoavat hyökkääjille mahdollisuuden:

Hallitse etäyhteyttä Wemo House Automation Connected Gadgets Internetissä

Suorita haitalliset laiteohjelmistopäivitykset

Sulaa etäyhteydet (joissain tapauksissa)

Pääsy sisätiloihin

Davis sanoi: ”Kun yhdistämme talomme Internetiin, on asteittain tärkeää, että internet-internet-laitteiden myyjät varmistavat, että kohtuulliset tietoturvamenetelmät omaksutaan varhaisessa vaiheessa tuotteiden etenemisjaksoja. Tämä lievittää heidän asiakkaansa altistumista ja vähentää riskiä. Toinen huolenaihe on, että WEMO -laitteet hyödyntävät liikkeen antureita, joita hyökkääjä voi käyttää kodin sisällä olevien näytöksien käyttöasteen etäyhteydessä. ”

Isku

Belkin Wemo -välineissä löydetyt haavoittuvuudet aiheuttavat henkilöitä useisiin mahdollisesti kalliisiin uhkiin talon tulipaloista, joilla on mahdolliset traagiset seuraukset yksinkertaiseen sähkön tuhlaukseen. Syynä tähän on se, että hyökkääjien vaarantamisen jälkeen WEMO -laitteet voidaan käyttää kytkettyjen laitteiden etäyhteyden kytkemiseen sekä kaiken tyyppisissä ajassa. Edellyttäen, että käytössä olevien WEMO -laitteiden lukumäärä on erittäin todennäköistä, että monet kytkettyistä laitteista ja laitteista tehdään valvontaa, mikä lisää näiden haavoittuvuuksien aiheuttamaa uhkaa.

Lisäksi kun hyökkääjä on luonut yhteyden WEMO -laitteeseen uhriverkossa; Gadgetia voidaan käyttää jalansijaksi muiden laitteiden, kuten kannettavien tietokoneiden, matkapuhelimien, sekä kytkettyjen verkkotietojen tallennuksen hyökkäyksen hyökkäykseksi.

Haavoittuvuudet

Belkin Wemo -ohjelmistokuvat, joita käytetään päivittämään laitteita, allekirjoitetaan julkisella avainsalauksella suojatakseen luvattomilta muutoksilta. Allekirjoitusavain ja salasana kuitenkin vuotavat laitteisiin jo asennetussa laiteohjelmistossa. Tämän avulla hyökkääjät voivat hyödyntää täsmälleen samaa allekirjoitusavainta ja salasanaa osoittaakseen oman haitallisen laiteohjelmistonsa sekä ohittaa tietoturvatarkastukset laiteohjelmiston päivitysprosessin aikana.

Lisäksi Belkin Wemo Gadgetit eivät validoi suojattuja pistorasiakerroksen (SSL) varmenteita, jotka estävät niitä validoimasta viestintää Belkinin pilvipalvelun kanssa, mukaan lukien laiteohjelmiston päivitys RSS -syöte. Tämän avulla hyökkääjät voivat hyödyntää minkä tahansa tyyppisiä SSL -varmenteita Belkinin pilvipalvelujen alentamiseen sekä haitallisten laiteohjelmistopäivitysten pidentämiseen sekä valtakirjojen saamiseksi täsmälleen. Pilvi -integroinnin takia laiteohjelmistopäivitys työnnetään uhrin taloon riippumatta siitä, mikä parillinen laite vastaanottaa päivitysilmoituksen tai sen fyysisen sijainnin.

Belkin Wemo Gadgetsin kommunikointiin käytetyt verkkoviestintätilat perustuvat väärinkäytettyyn protokollaan, joka on suunniteltu käyttämään Voice Over Web Protocol (VOIP) -palveluita palomuurin tai NAT -rajoitusten ohittamiseksi. Se tekee tämän menetelmässä, joka vaarantaa kaikki Wemo Gadgets -turvallisuuden tuottamalla online -Wemo Darknet -sovelluksen, johon kaikki WEMO -laitteet voidaan linkittää suoraan; Ja jollain rajoitetulla arvaamisella ‘salaisesta numerosta’ hallittiin jopa ilman laiteohjelmistopäivityshyökkäystä.

Belkin Wemo Server -sovellusohjelmointirajapinta (API) havaittiin myös olevan alttiina XML -osallisuutta koskevalle haavoittuvuudelle, mikä mahdollistaisi hyökkääjien vaarantaa kaikki WEMO -laitteet.

Neuvonta

IOACIVE tuntuu erittäin voimakkaasti vastuullisesta paljastamisesta ja sellaisenaan työskennellyt huolellisesti löydettyjen haavoittuvuuksien varmuuden kanssa. Cert, joka julkaisee tänään oman neuvonantajansa, yritti ottaa yhteyttä Belkiniin kysymyksistä, mutta Belkin ei kuitenkaan reagoi.

Koska Belkin ei ole luonut minkäänlaista korjauksia käsiteltyihin ongelmiin, IOActive piti tärkeänä vapauttaa neuvonantaja ja suggeSTS irrottaa kaikki laitteiden pistorasiat vaikuttavista WEMO -tuotteista.

. Päivitä laiteohjelmisto nyt.

Belkin.com: Amazonista tarjottu Wemo

Haluta lisää? – Seuraa meitä Twitterissä, kuten me Facebookissa tai kirjaudu RSS -syötteeseen. Voit jopa saada nämä uutiset toimittamaan sähköpostitse suoraan postilaatikkoosi joka päivä.

Jaa tämä:
Facebook
Viserrys
Reddit
LinkedIn
Pinterest
Sähköposti
Lisää

Whatsapp
Tulosta

Skype
Tumblr

Sähke
Tasku

Leave a Reply

Your email address will not be published. Required fields are marked *