IOActive berichtet mehrere Schwachstellen in Belkin Wemo House Automation Modules [Aktualisiert]
. Bisher haben Belkin in dieser Angelegenheit geschwiegen, aber Cert hat jetzt seine eigene Beratung veröffentlicht, in der die Sicherheitsfehler aufgelistet sind.
Ist dies eine Überreaktion auf eine von einer Million Möglichkeit, dass jemand in der Lage ist, Ihre Lichter zu hacken? Oder ist es nur das dünne Ende des Keils sowie die Zeit für die Hausautomatisierung sowie das Web of Things Business, um sich aufzusetzen und sich in Bezug auf die Sicherheit echt zu machen? Schauen Sie sich das Video der letzten Nächte Twit Security Now Podcast für beide Seiten der Meinungsverschiedenheit an und lassen Sie uns verstehen, was Sie an die Kommentare unten glauben.
SEATTLE, USA – 18. Februar 2014 – Ioactive, Inc., der weltweit führende Anbieter von Experten -Info -Sicherheitsdiensten, hat heute bekannt gegeben, dass er mehrere Schwachstellen in Belkin Wemo House Automation -Geräten aufgedeckt hat, die sich möglicherweise über eine halbe Million Nutzer auswirken könnten. Belkins WEMO nutzt Wi-Fi sowie das mobile Web, um House Electronics überall auf der Welt direkt vom Smartphone der Benutzer zu verwalten.
Mike Davis, Wissenschaftler von IOActive -Forschungsstudien, enthüllte mehrere Schwachstellen im WEMO -Produkt -Set, das Angreifern die Fähigkeit bietet:
Verwaltung von WEMO House Automation Connected Gadgets im Internet aus der Ferne
Führen Sie böswillige Firmware -Updates durch
Bilduntersuchen Sie die Geräte aus der Ferne (in einigen Fällen)
Zugang zu einem Innenhausnetzwerk
Davis sagte: „Während wir unsere Häuser mit dem Internet verknüpfen, ist es für Gadget-Anbieter im Internet der Dinge zunehmend wichtig, dass angemessene Sicherheitsmethoden früh in den Produktaufstiegszyklen angenommen werden. Dies mindert die Exposition ihres Kunden und verringert das Risiko. Ein weiteres Problem ist, dass die WEMO -Gadgets Bewegungssensoren verwenden, die von einem Angreifer verwendet werden können, um die Belegung des Hauses aus der Ferne zu untersuchen. “
Der Aufprall
Die in den Belkin Wemo -Geräte entdeckten Schwachstellen unterbreiten Personen mit einer Reihe potenziell teurer Bedrohungen, von Hausbränden mit möglichen tragischen Folgen bis hin zur einfachen Verschwendung von Elektrizität. Der Grund dafür ist, dass die Angreifer die WEMO -Geräte gefährdet werden, um verbundene Geräte aus der Ferne und zu jeder Art von Zeit auszuschalten. Vorausgesetzt, die Anzahl der verwendeten WEMO -Geräte, ist es äußerst wahrscheinlich, dass viele der verbundenen Geräte sowie Geräte unbeaufsichtigt werden, wodurch die Bedrohung durch diese Schwachstellen erhöht wird.
Wenn ein Angreifer eine Verbindung zu einem WEMO -Gerät innerhalb eines Opfernetzwerks hergestellt hat; Das Gadget kann als Fuß fasst werden, um andere Geräte wie Laptops, Mobiltelefone sowie verbundene Netzwerkdatenspeicher anzugreifen.
Die Schwachstellen
Die Belkin Wemo -Firmware -Bilder, die zum Aktualisieren der Geräte verwendet werden, werden mit öffentlicher Schlüsselverschlüsselung unterzeichnet, um vor nicht autorisierten Änderungen zu schützen. Die Signaturschlüssel sowie das Kennwort sind jedoch auf der Firmware durchgesickert, die bereits auf den Geräten installiert ist. Auf diese Weise können Angreifer genau den gleichen Signierschlüssel sowie das Passwort verwenden, um ihre eigene böswillige Firmware anzugeben und Sicherheitskontrollen während des Firmware -Update -Vorgangs zu umgehen.
Darüber hinaus validieren Belkin WEMO -Geräte keine SSL -Zertifikate (Secure Socket Layer), die verhindern, dass sie die Kommunikation mit dem Cloud -Service von Communications mit dem Firmware -Update RSS -Feed validieren. Auf diese Weise können Angreifer jegliche Art von SSL -Zertifikat verwenden, um sich als Belkin -Cloud -Dienste auszugeben und böswillige Firmware -Updates zu verschieben und gleichzeitig Anmeldeinformationen zu erfassen. Aufgrund der Cloud -Integration wird das Firmware -Update in das Haus des Opfers gedrängt, unabhängig davon, welche gepaarte Gadget die Update -Benachrichtigung oder den physischen Standort erhält.
Die für die Kommunikation von Belkin Wemo -Gadgets verwendeten Webkommunikationseinrichtungen basieren auf einem missbrauchten Protokoll, das von VoIP -Diensten (Voice Over Web Protocol) zur Umgehung von Firewall oder NAT -Beschränkungen ausgelegt wurde. Dies geschieht in einer Methode, die alle WEMO -Gadgets -Sicherheit beeinträchtigt, indem ein Online -Wemo -Darknet erstellt wird, mit dem alle WEMO -Geräte direkt verknüpft werden können. Und mit einigen eingeschränkten Vermutungen einer „geheimen Nummer“, die auch ohne den Angriff von Firmware -Update verwaltet wird.
Die Belkin WEMO Server Application Programming Interface (API) wurde ebenfalls als anfällig für eine XML -Einschlussanfälligkeit entdeckt, die es den Angreifern ermöglichen würde, alle WEMO -Geräte zu gefährden.
Beratend
IoActive fühlt sich äußerst stark in Bezug auf die Offenlegung von Rechenschaftspflicht und hat als solche sorgfältig mit der Entdeckung der Schwachstellen gearbeitet. Cert, das heute einen eigenen Berater veröffentlichen wird, unternahm eine Reihe von Versuchen, Belkin über die Probleme zu kontaktieren, aber Belkin reagierte nicht.
Da Belkin keine Arten von Korrekturen für die besprochenen Probleme erstellt hat, war es wichtig, dass es wichtig war, sowohl einen Beratung als auch einen Zuschlag zu veröffentlichenSTS Stecker alle Geräte aus den betroffenen WEMO -Produkten.
[Update] Belkin haben nun beraten, dass „Benutzer mit der neuesten Firmware -Release (Version 3949) keine Gefahr für böswillige Firmware -Angriffe oder eine Fernverwaltung oder -verfolgung von WEMO -Geräten von nicht autorisierten Geräten haben“. Aktualisieren Sie jetzt Ihre Firmware.
Belkin.com: Wemo von Amazon angeboten
Mehr wollen? – Folgen Sie uns auf Twitter, wie uns auf Facebook oder melden Sie sich für unseren RSS -Feed an. Sie können diese Nachrichten sogar jeden Tag per E -Mail direkt in Ihren Posteingang liefern lassen.
Teile das:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
Email
Mehr
WhatsApp
Drucken
Skype
Tumblr
Telegramm
Tasche