IOActive αναφέρουν πολλαπλά τρωτά σημεία στη ποικιλία Wemo των συσκευών αυτοματισμού του Belkin. Μέχρι στιγμής η Belkin έχει σιωπηθεί για το θέμα, αλλά η Cert δημοσίευσε τώρα τη δική του συμβουλευτική λίστα με τα ελαττώματα ασφαλείας.
Είναι αυτή η υπερβολική αντίδραση σε ένα σε ένα εκατομμύριο πιθανότητα να μπορέσει κάποιος να χάσει τα φώτα σας; Ή μήπως είναι μόνο το λεπτό τέλος της σφήνας καθώς και ο χρόνος για την αυτοματοποίηση του σπιτιού, καθώς και το Web of Things Business για να καθίσετε καθώς και να γίνουν γνήσια για την ασφάλεια; Ελέγξτε το βίντεο των χθες το βράδυ Twit Security Now Podcast και για τις δύο πλευρές της διαφωνίας, τότε ας καταλάβουμε τι πιστεύετε στα σχόλια παρακάτω …
Σιάτλ, ΗΠΑ – 18 Φεβρουαρίου 2014 – Η IOACTIVE, Inc., ο κορυφαίος παγκόσμιος προμηθευτής υπηρεσιών ασφαλείας πληροφοριών εμπειρογνωμόνων, αποκάλυψε σήμερα ότι έχει αποκαλύψει πολλά τρωτά σημεία στο Belkin Wemo House Automation Gadgets που θα μπορούσαν να επηρεάσουν πάνω από μισό εκατομμύριο χρήστες. Το Wemo της Belkin χρησιμοποιεί Wi-Fi καθώς και τον κινητό ιστό για τη διαχείριση ηλεκτρονικών ειδών House οπουδήποτε στον κόσμο απευθείας από το smartphone των χρηστών.
Ο Mike Davis, ο κύριος επιστήμονας της μελέτης της IOACTIVER, αποκάλυψε πολλά τρωτά σημεία στο σύνολο προϊόντων WEMO που παρέχει στους επιτιθέμενους την ικανότητα να:
Διαχειριστείτε από απόσταση το Wemo House Automation Connected Gadgets μέσω του Διαδικτύου
Εκτελέστε κακόβουλες ενημερώσεις υλικολογισμικού
Επαναλάβετε απομακρυσμένα τα gadgets (σε ορισμένες περιπτώσεις)
Πρόσβαση σε ένα δίκτυο εσωτερικού χώρου
Ο Ντέιβις είπε: “Καθώς συνδέουμε τα σπίτια μας με το Διαδίκτυο, είναι προοδευτικά σημαντικό για τους προμηθευτές gadget του Διαδικτύου για τα gadget να διασφαλίσουμε ότι οι εύλογες μεθοδολογίες ασφαλείας αγκαλιάζονται νωρίς σε κύκλους προόδου προϊόντων. Αυτό μετριάζει την έκθεση του πελάτη του καθώς και μειώνει τον κίνδυνο. Μια άλλη ανησυχία είναι ότι τα gadgets WEMO χρησιμοποιούν αισθητήρες κίνησης, οι οποίοι μπορούν να χρησιμοποιηθούν από έναν εισβολέα για την εξ αποστάσεως όψη στην κατοχή του σπιτιού. ”
Ο αντίκτυπος
Τα τρωτά σημεία που ανακαλύφθηκαν μέσα στο Belkin Wemo gadgets υποβάλλονται σε άτομα σε μια σειρά δυνητικά δαπανηρών απειλών, από πυρκαγιές με πιθανές τραγικές συνέπειες μέχρι την απλή σπατάλη της ηλεκτρικής ενέργειας. Ο λόγος για αυτό είναι ότι, αφού οι επιτιθέμενοι θέτουν σε κίνδυνο τις συσκευές WEMO, μπορούν να χρησιμοποιηθούν για να μετατρέψουν τα συνδεδεμένα συνδεδεμένα gadgets καθώς και σε οποιοδήποτε είδος χρόνου. Με την προϋπόθεση ότι ο αριθμός των gadgets Wemo χρησιμοποιείται, είναι εξαιρετικά πιθανό ότι πολλές από τις συνδεδεμένες συσκευές καθώς και τα gadgets θα είναι χωρίς επιτήρηση, αυξάνοντας έτσι την απειλή που θέτουν αυτά τα τρωτά σημεία.
Επιπλέον, όταν ένας εισβολέας έχει δημιουργήσει μια σύνδεση με ένα gadget Wemo μέσα σε ένα δίκτυο θυμάτων. Το gadget μπορεί να χρησιμοποιηθεί ως στήριγμα για να επιτεθεί άλλα gadgets όπως φορητοί υπολογιστές, κινητά τηλέφωνα, καθώς και συνδεδεμένο αποθηκευτικό χώρο δικτύου.
Τα τρωτά σημεία
Οι εικόνες υλικολογισμικού Belkin Wemo που χρησιμοποιούνται για την ενημέρωση των gadgets υπογράφονται με κρυπτογράφηση δημόσιου κλειδιού για την προστασία από μη εξουσιοδοτημένες τροποποιήσεις. Ωστόσο, το κλειδί υπογραφής καθώς και ο κωδικός πρόσβασης διαρρέουν στο υλικολογισμικό που έχει ήδη εγκατασταθεί στις συσκευές. Αυτό επιτρέπει στους επιτιθέμενους να χρησιμοποιούν το ίδιο ακριβώς κλειδί υπογραφής καθώς και τον κωδικό πρόσβασης για να δείξουν το δικό τους κακόβουλο υλικολογισμικό καθώς και να παράκαναν ελέγχους ασφαλείας κατά τη διάρκεια της διαδικασίας ενημέρωσης υλικολογισμικού.
Επιπλέον, τα gadgets Belkin Wemo δεν επικυρώσουν πιστοποιητικά ασφαλούς στρώματος Secure Socket (SSL) που τους εμποδίζουν να επικυρώσουν τις επικοινωνίες με την υπηρεσία σύννεφων του Belinkin, συμπεριλαμβανομένης της τροφοδοσίας Firmware Update RSS. Αυτό επιτρέπει στους επιτιθέμενους να χρησιμοποιούν οποιοδήποτε τύπο πιστοποιητικού SSL για να μιμηθούν τις υπηρεσίες σύννεφων Belkin καθώς και να ωθήσουν κακόβουλες ενημερώσεις υλικολογισμικού, καθώς και τα διαπιστευτήρια Catch ακριβώς την ίδια στιγμή. Λόγω της ενσωμάτωσης σύννεφων, η ενημέρωση του υλικολογισμικού ωθείται στο σπίτι του θύματος, ανεξάρτητα από το ποιο ζευγαρωμένο gadget λαμβάνει την ειδοποίηση ενημέρωσης ή τη φυσική του θέση.
Οι εγκαταστάσεις επικοινωνίας μέσω διαδικτύου που χρησιμοποιούνται για την επικοινωνία Belkin Wemo Gadgets βασίζονται σε ένα πρωτόκολλο που έχει καταχραστεί το οποίο σχεδιάστηκε για χρήση με υπηρεσίες Voice Over Web (VOIP) για να παρακάμψει τους περιορισμούς τείχους προστασίας ή NAT. Το κάνει αυτό με μια μέθοδο που συμβιβάζει όλα τα wemo gadgets ασφάλεια, παράγοντας ένα online wemo darknet όπου όλα τα gadgets wemo μπορούν να συνδεθούν άμεσα με την άμεση. Και, με κάποιες περιορισμένες εικασίες ενός «μυστικού αριθμού», διαχειριζόταν ακόμη και χωρίς την επίθεση ενημέρωσης υλικολογισμικού.
Η διεπαφή προγραμματισμού εφαρμογών Belkin Wemo Server (API) ανακαλύφθηκε επίσης ότι είναι ευάλωτη σε μια ευπάθεια ενσωμάτωσης XML, η οποία θα επέτρεπε στους εισβολείς να θέσουν σε κίνδυνο όλες τις συσκευές WEMO.
Συμβουλευτικός
Το IOACTIVE αισθάνεται εξαιρετικά έντονα για την υπεύθυνη αποκάλυψη καθώς και για εκ τούτου, εργάστηκε προσεκτικά με το CERT για τα τρωτά σημεία που ανακαλύφθηκαν. Η CERT, η οποία θα δημοσιεύσει σήμερα τη δική της συμβουλευτική, έκανε αρκετές προσπάθειες να επικοινωνήσει με τον Belkin σχετικά με τα θέματα, ωστόσο, ο Belkin δεν ανταποκρίθηκε.
Λόγω του Belkin που δεν δημιουργεί κανένα είδος διορθώσεων για τα προβλήματα που συζητήθηκαν, το IOACTIVE θεώρησε σημαντικό να κυκλοφορήσει μια συμβουλευτική καθώς και suggeΤο STS αποσυνδέει όλα τα gadgets από τα επηρεασμένα προϊόντα WEMO.
[UPDATE] Η Belkin έχει συμβουλεύσει τώρα ότι “οι χρήστες με την πιο πρόσφατη απελευθέρωση υλικολογισμικού (έκδοση 3949) δεν βρίσκονται σε κίνδυνο για κακόβουλες επιθέσεις υλικολογισμικού ή απομακρυσμένη διαχείριση ή παρακολούθηση των gadgets Wemo από μη εξουσιοδοτημένες συσκευές”. Ενημερώστε το υλικολογισμικό σας τώρα.
Belkin.com: Wemo που προσφέρεται από το Amazon
Θέλουν περισσότερα? – Ακολουθήστε μας στο Twitter, όπως και εμείς στο Facebook ή εγγραφείτε για τη ροή RSS. Μπορείτε ακόμη και να λάβετε αυτές τις ειδήσεις που παρέχονται μέσω ηλεκτρονικού ταχυδρομείου, απευθείας στα εισερχόμενά σας κάθε μέρα.
Μοιραστείτε αυτό:
Facebook
Κελάδημα
Ερυθρός
LinkedIn
Pinterest
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Περισσότερο
Whatsapp
Τυπώνω
Σκυϊδάκι
Ουρανός
Τηλεγράφημα
Τσέπη