Laporan Ioactive Beberapa kerentanan dalam modul otomatisasi Belkin Wemo House [diperbarui]
Ioactive melaporkan beberapa kerentanan dalam berbagai perangkat otomatisasi rumah Belkin. Sejauh ini Belkin telah diam tentang masalah ini tetapi Cert sekarang telah menerbitkan penasihatnya sendiri yang mencantumkan kelemahan keamanan.
Apakah ini reaksi berlebihan bagi satu dari sejuta kemungkinan seseorang dapat meretas lampu Anda? Atau apakah itu hanya ujung tipis dari irisan serta waktu untuk otomatisasi rumah serta web hal -hal bisnis untuk duduk dan juga menjadi asli tentang keamanan? Lihat video podcast Twit Security Nights Now untuk kedua sisi ketidaksepakatan lalu mari kita pahami apa yang Anda yakini pada komentar di bawah …
SEATTLE, AS – 18 Februari 2014 – Ioactive, Inc., pemasok layanan keamanan ahli di seluruh dunia terkemuka, mengungkapkan hari ini bahwa mereka telah mengungkap beberapa kerentanan di gadget otomatisasi rumah Belkin Wemo yang mungkin berdampak lebih dari setengah juta pengguna. Wemo Belkin menggunakan Wi-Fi serta web seluler untuk mengelola elektronik rumah di mana saja di dunia langsung dari smartphone pengguna.
Mike Davis, ilmuwan penelitian penelitian utama Ioactive, mengungkap beberapa kerentanan dalam set produk WEMO yang memberikan kemampuan kepada penyerang untuk:
Kelola Gadget Wemo House Connected dari jarak jauh melalui internet
Lakukan pembaruan firmware berbahaya
Layar jarak jauh gadget (dalam beberapa kasus)
Mengakses jaringan rumah interior
Davis berkata, “Saat kami menghubungkan rumah-rumah kami ke internet, semakin penting bagi vendor gadget Internet-Things untuk memastikan bahwa metodologi keamanan yang wajar dianut di awal siklus kemajuan produk. Ini mengurangi paparan pelanggan mereka serta mengurangi risiko. Kekhawatiran lain adalah bahwa gadget Wemo menggunakan sensor gerakan, yang dapat digunakan oleh penyerang untuk menyaring hunian dari jarak jauh di dalam rumah. ”
Benturan
Kerentanan yang ditemukan dalam gadget Belkin Wemo membuat orang -orang yang berpotensi mahal, dari kebakaran rumah dengan kemungkinan konsekuensi tragis hingga sia -sia listrik yang sederhana. Alasan untuk ini adalah bahwa, setelah penyerang membahayakan perangkat WEMO, mereka dapat digunakan untuk menghidupkan gadget yang terhubung dari jarak jauh dan juga pada setiap jenis waktu. Asalkan jumlah gadget WEMO yang digunakan, sangat mungkin bahwa banyak peralatan yang terhubung serta gadget akan tidak dijaga, oleh karena itu meningkatkan ancaman yang ditimbulkan oleh kerentanan ini.
Selain itu, ketika seorang penyerang telah menjalin koneksi ke gadget Wemo dalam jaringan korban; Gadget dapat digunakan sebagai pijakan untuk menyerang gadget lain seperti laptop, ponsel, serta penyimpanan data jaringan yang terhubung.
Kerentanan
Gambar firmware Belkin Wemo yang digunakan untuk memperbarui gadget ditandatangani dengan enkripsi kunci publik untuk melindungi terhadap modifikasi yang tidak sah. Namun, kunci penandatanganan serta kata sandi bocor pada firmware yang sudah diinstal pada perangkat. Ini memungkinkan penyerang untuk menggunakan kunci penandatanganan yang sama persis serta kata sandi untuk mengindikasikan firmware berbahaya mereka sendiri serta memeriksa pemeriksaan keamanan selama proses pembaruan firmware.
Selain itu, gadget Belkin Wemo tidak memvalidasi sertifikat Secure Socket Layer (SSL) yang mencegah mereka memvalidasi komunikasi dengan layanan cloudbelkin termasuk firmware pembaruan RSS feed. Ini memungkinkan penyerang untuk memanfaatkan segala jenis sertifikat SSL untuk menyamar sebagai layanan cloud Belkin serta mendorong pembaruan firmware berbahaya serta menangkap kredensial pada waktu yang sama. Karena integrasi cloud, pembaruan firmware didorong ke rumah korban terlepas dari gadget berpasangan mana yang menerima pemberitahuan pembaruan atau lokasi fisiknya.
Fasilitas komunikasi web yang digunakan untuk mengkomunikasikan gadget Belkin Wemo didasarkan pada protokol yang dilecehkan yang dirancang untuk digunakan oleh layanan Voice Over Web Protocol (VoIP) untuk mem -bypass firewall atau pembatasan NAT. Ini melakukan ini dalam metode yang membahayakan semua keamanan gadget Wemo dengan memproduksi Wemo Darknet online di mana semua gadget Wemo dapat ditautkan secara langsung; Dan, dengan beberapa menebak ‘nomor rahasia’ yang terbatas, dikelola bahkan tanpa serangan pembaruan firmware.
Antarmuka Pemrograman Aplikasi Server Belkin Wemo (API) juga ditemukan rentan terhadap kerentanan inklusi XML, yang akan memungkinkan penyerang untuk membahayakan semua perangkat WEMO.
Penasihat
Ioactive merasa sangat kuat tentang pengungkapan yang bertanggung jawab dan juga bekerja dengan hati -hati dengan sertifikat kerentanan yang ditemukan. Cert, yang akan menerbitkan penasihatnya sendiri hari ini, melakukan sejumlah upaya untuk menghubungi Belkin tentang masalah tersebut, namun, Belkin tidak responsif.
Karena Belkin tidak membuat jenis perbaikan apa pun untuk masalah yang dibahas, ioactive merasa penting untuk melepaskan penasihat dan juga SuggeSTS mencabut semua gadget dari produk WEMO yang terkena dampak.
[UPDATE] Belkin sekarang menyarankan bahwa “pengguna dengan rilis firmware terbaru (versi 3949) tidak dalam bahaya untuk serangan firmware berbahaya atau kelola jarak jauh atau pelacakan gadget Wemo dari perangkat yang tidak sah”. Perbarui firmware Anda sekarang.
Belkin.com: Wemo ditawarkan dari Amazon
Ingin lebih? – Ikuti kami di Twitter, seperti kami di Facebook, atau mendaftar untuk umpan RSS kami. Anda bahkan dapat mengirimkan berita ini melalui email, langsung ke kotak masuk Anda setiap hari.
Bagikan ini:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
Surel
Lagi
Ada apa
Mencetak
Skype
Tumblr
Telegram
Saku