IOActive сообщает о нескольких уязвимостях в модулях автоматизации Belkin Wemo House [обновлено]

IOActive сообщают о нескольких уязвимостях в Wemo Wemo Wemo Wemo Work House Automation устройства. До сих пор Белкин молчал по этому вопросу, но Cert теперь публикует свои собственные консультативные перечисления недостатков безопасности.

Является ли это чрезмерной реакцией на один из миллионов возможностей, чтобы кто-то мог взломать ваши огни? Или это просто тонкий конец клина, а также время для автоматизации дома, а также бизнес, который можно сидеть, а также быть искренним в отношении безопасности? Посмотрите видео подкаста Twit Security Security Security Security Security Security Security, а затем позвольте нам понять, во что вы верите в комментарии ниже…

Сиэтл, США – 18 февраля 2014 г. – IOActive, Inc., ведущий мировой поставщик экспертных услуг по безопасности информации, сообщил сегодня, что она обнаружила несколько уязвимостей в гаджетах автоматизации Belkin Wemo House, которые могут повлиять на более полмиллиона пользователей. Belkin’s Wemo использует Wi-Fi, а также мобильную сеть для управления домашней электроникой в ​​любом месте мира непосредственно со смартфона пользователей.

Майк Дэвис, основной научный сотрудник IOActive, обнаружил несколько уязвимостей в наборе продуктов WEMO, который предоставляет злоумышленникам возможность:

Удаленно управляйте гаджетами Wemo House Automation подключенными через Интернет

Выполните обновления злонамеренных прошивок

Удаленно экранируйте гаджеты (в некоторых случаях)

Доступ к сети интерьера дома

Дэвис сказал: «Поскольку мы связываем наши дома с Интернетом, для поставщиков гаджетов в Интернете очень важно обеспечить, чтобы разумные методологии безопасности были приняты на ранних этапах циклов развития продукта. Это смягчает воздействие их клиента, а также снижает риск. Другая проблема заключается в том, что гаджеты Wemo используют датчики движения, которые могут быть использованы злоумышленником для удаленного экрана в доме ».

Влияние

Уязвимости, обнаруженные в гаджетах Belkin Wemo, подвергают людям ряд потенциально дорогих угроз, от пожаров с возможными трагическими последствиями вплоть до простого разбросания электричества. Причиной этого является то, что после того, как злоумышленники поставили под угрозу устройства WEMO, их можно использовать для удаленного включения подключенных гаджетов, а также от времени в любое время. При условии, что количество используемых гаджетов Wemo крайне вероятно, что многие из связанных приборов, а также гаджетов будут без присмотра, что будет увеличить угрозу, создаваемую этими уязвимостью.

Кроме того, когда злоумышленник установил связь с гаджетом Wemo в сети жертв; Гаджет может использоваться в качестве опоры, чтобы напасть на другие гаджеты, такие как ноутбуки, мобильные телефоны, а также подключенное сетевое хранилище данных.

Уязвимости

Встроенные программы Belkin Wemo, которые используются для обновления гаджетов, подписаны с шифрованием открытого ключа для защиты от несанкционированных модификаций. Тем не менее, ключ подписания, а также пароль протекают на прошивке, которая уже установлена ​​на устройствах. Это позволяет злоумышленникам использовать тот же ключ подписания, а также пароль, чтобы указать на их собственную злонамеренную прошивку, а также обходные проверки безопасности во время процесса обновления прошивки.

Кроме того, гаджеты Belkin Wemo не подтверждают сертификаты Secure Socket Layer (SSL), не позволяющие им проверить связь с облачным сервисом Belkin, включая обновление прошивки RSS -канал. Это позволяет злоумышленникам использовать любой тип сертификата SSL для выдачи облачных сервисов Belkin, а также обновлять обновления в прошивке злоумышленников, а также одновременно. Из -за облачной интеграции обновление прошивки выдвигается в дом жертвы, независимо от того, какой парный гаджет получает уведомление об обновлении или его физическое местоположение.

Учреждения веб -коммуникации, используемые для передачи гаджетов Belkin Wemo, основаны на протоколе, подвергшихся насилию, который был разработан для использования услугами Voice Over Web Protocol (VOIP) для обхода ограничений брандмауэра или NAT. Это происходит в методе, который ставит под угрозу все безопасность Wemo Gadgets, производя онлайн -wemo Darknet, где все гаджеты Wemo могут быть связаны напрямую; и, с некоторым ограниченным догадением «секретного номера», управляемого даже без атаки обновления прошивки.

Интерфейс программирования приложения Belkin Wemo Server (API) также был обнаружен как уязвимый для уязвимости включения XML, которая позволила бы злоумышленникам поставить под угрозу все устройства WEMO.

Консультативный

IOActive чрезвычайно сильно относится к ответственному раскрытию, а также как таково, что он тщательно работал с CERT об уязвимости, которые были обнаружены. CERT, который сегодня будет публиковать свои собственные консультации, предпринял ряд попыток связаться с Белкином по этим вопросам, однако Белкин не отвечал.

Из -за того, что Belkin не создает никаких решений для обсуждаемых проблем, IOActive считает важным выпускать как консультативный, так и SuggeSTS, отключая все гаджеты из пострадавших продуктов Wemo.

[Обновление] Belkin теперь сообщил, что «пользователи с последним выпуском прошивки (версия 3949) не подвергаются опасности для злоумышленных атак прошивки или удаленного управления или отслеживания гаджетов Wemo из несанкционированных устройств». Обновите свою прошивку сейчас.

Belkin.com: Wemo предлагается от Amazon

Хочу больше? – Следуйте за нами в Твиттере, как мы на Facebook, или подпишитесь на наш RSS -канал. Вы даже можете получать эти новости по электронной почте, непосредственно в ваш почтовый ящик каждый день.

Поделись этим:
Facebook
Твиттер
Reddit
LinkedIn
Pinterest
Эл. адрес
Более

WhatsApp
Распечатать

Скайп
Tumblr

Телеграмма
Карман