IOACT’teki çeşitli güvenlik açıkları, Belkin’in WEMO Çeşitli House Otomasyon Cihazında birden fazla güvenlik açığı rapor ediyor. Şimdiye kadar Belkin bu konuda sessiz kaldı, ancak Cert şimdi güvenlik kusurlarını listeleyen kendi danışmanlığını yayınladı.
Bu, birisinin ışıklarınızı hackleyebilmesinin bir milyon olasılığından birine aşırı tepki mi? Yoksa sadece kama ince ucu ve ev otomasyonu için zaman ve Web of Things Business’ın oturması ve güvenlik konusunda gerçek var mı? Dün gece Twit Security Now Podcast’in videosuna göz atın ve anlaşmazlığın her iki tarafı için podcast, ardından aşağıdaki yorumlara neye inandığınızı anlayalım…
SEATTLE, ABD – 18 Şubat 2014 – Dünya çapında uzman bilgi güvenlik hizmetleri tedarikçisi IOACT, Inc., bugün yarım milyondan fazla kullanıcıyı etkileyebilecek Belkin Wemo House Otomasyon Gadget’larında çeşitli güvenlik açıklarını ortaya çıkardığını ortaya koydu. Belkin’in WEMO’su, dünyanın herhangi bir yerinde doğrudan kullanıcıların akıllı telefonundan ev elektroniğini yönetmek için Wi-Fi ve mobil web kullanıyor.
IOACT’in birincil araştırma çalışma bilimcisi Mike Davis, WEMO ürün setinde saldırganlara aşağıdakileri sağlayan çeşitli güvenlik açıklarını ortaya çıkardı:
Wemo House Otomation Bağlı Gadget’ları İnternet üzerinden uzaktan yönetin
Kötü amaçlı ürün yazılımı güncellemeleri gerçekleştirin
Gadget’ları uzaktan tarayın (bazı durumlarda)
Bir iç ev ağına erişin
Davis, “Evlerimizi internete bağladığımız için, makul güvenlik metodolojilerinin ürün ilerleme döngülerinde erken benimsenmesini sağlamak için olayların İnterneti gadget satıcıları için kademeli olarak önemlidir. Bu, müşterilerinin maruziyetini azaltmanın yanı sıra riski azaltır. Başka bir endişe, WEMO aletlerinin, bir saldırgan tarafından evdeki uzaktan dışarıyı uzaktan taramak için kullanılabilen hareket sensörlerini kullanmasıdır. ”
Darbe
Belkin Wemo gadget’larında keşfedilen güvenlik açıkları, bireyleri olası trajik sonuçları olan ev yangınlarından basit elektrik bilgisine kadar bir dizi potansiyel pahalı tehdide tabi tutar. Bunun nedeni, saldırganların WEMO cihazlarını tehlikeye attıktan sonra, bağlı gadget’ları uzaktan ve her zaman kapalı olarak çevirmek için kullanılabilirler. Kullanımda olan WEMO gadget’larının sayısı şartıyla, bağlı cihazların ve gadget’ların çoğunun gözetimsiz olması ve bu nedenle bu güvenlik açıklarının yarattığı tehdidi artırması son derece muhtemeldir.
Ayrıca, bir saldırgan bir kurban ağı içindeki bir WEMO gadget’ıyla bağlantı kurduğunda; Gadget, dizüstü bilgisayarlar, cep telefonları ve bağlı ağ veri depolama gibi diğer araçlara saldırmak için bir dayanak olarak kullanılabilir.
Güvenlik açıkları
Gadget’ları güncellemek için kullanılan Belkin Wemo ürün yazılımı resimleri, yetkisiz değişikliklere karşı koruma sağlamak için genel anahtar şifrelemesi ile imzalanır. Ancak, imzalama anahtarı ve parola, cihazlara zaten yüklü olan ürün yazılımı üzerinde sızdırılır. Bu, saldırganların, kendi kötü amaçlı ürün yazılımlarını göstermenin yanı sıra ürün yazılımı güncelleme işlemi sırasında güvenlik kontrollerini atlamak için parolayı ve şifreyi kullanmalarını sağlar.
Ek olarak, Belkin Wemo gadget’ları, Firmware Update RSS feed dahil olmak üzere Belkin’in bulut hizmeti ile iletişimi doğrulamalarını engelleyen güvenli soket katmanı (SSL) sertifikalarını doğrulamamaktadır. Bu, saldırganların Belkin’in bulut hizmetlerini taklit etmek ve kötü amaçlı ürün yazılımı güncellemelerini zorlamak ve aynı anda yakalamak için her türlü SSL sertifikasını kullanmasını sağlar. Bulut entegrasyonu nedeniyle, ürün yazılımı güncellemesi, hangi eşleştirilmiş gadget’ın güncelleme bildirimini veya fiziksel konumunu aldığından bağımsız olarak kurbanın evine itilir.
Belkin Wemo Gadgets’ı iletmek için kullanılan web iletişim tesisleri, güvenlik duvarını veya NAT kısıtlamalarını atlamak için Web Protokolü (VoIP) hizmetleri tarafından kullanılmak üzere tasarlanmış istismar edilmiş bir protokole dayanmaktadır. Bunu, tüm WEMO gadget’larının doğrudan bağlantılı olabileceği çevrimiçi bir Wemo Darknet üreterek tüm WEMO gadget’larının güvenliğini tehlikeye atan bir yöntemde yapar; Ve, “gizli bir sayı” ın bazı kısıtlı tahminleriyle, ürün yazılımı güncelleme saldırısı olmadan bile yönetildi.
Belkin Wemo Server Uygulama Programlama Arayüzü (API), saldırganların tüm WEMO cihazlarını tehlikeye atmasını sağlayacak bir XML içerme güvenlik açığına karşı savunmasız olduğu keşfedildi.
Danışmanlık
Ioactive, hesap verebilir açıklama konusunda ve keşfedilen güvenlik açıkları üzerinde sertifika ile dikkatli bir şekilde çalıştı. Bugün kendi danışmanlığını yayınlayacak olan Cert, Belkin ile ilgili konular hakkında bir dizi girişimde bulundu, ancak Belkin tepkisizdi.
Belkin tartışılan sorunlar için herhangi bir düzeltme oluşturmaması nedeniyle Ioactive, bir danışma ve sugge yayınlamanın önemli olduğunu düşündüSTS Etkilenen WEMO ürünlerinden tüm gadget’ların fişini çekiyor.
[Güncelleme] Belkin, “En son ürün yazılımı sürümüne (sürüm 3949) sahip kullanıcıların kötü amaçlı ürün yazılımı saldırıları veya yetkisiz cihazlardan WEMO gadget’larının uzaktan yönetimi veya izlenmesi için tehlike altında olmadığını” tavsiye etti. Ürün yazılımınızı şimdi güncelleyin.
Belkin.com: Wemo Amazon’dan Sunulan
Daha fazla istemek? – Bizi Facebook’ta bizim gibi Twitter’da takip edin veya RSS feed’imize kaydolun. Bu haber hikayelerini her gün doğrudan gelen kutunuza e -posta yoluyla sunabilirsiniz.
Bunu Paylaş:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
E -posta
Daha
Naber
Yazdır
Skype
Tumblr
Telgraf
Cep