Video: 25 TOTALLY COOL BARBIE HACKS YOU WILL WANT TO TRY ASAP (Oktober 2024)
Hjemmeautomatisering er så cool. Du behøver ikke at bekymre dig om, at du måske har forladt kaffepotten tændt eller glemt at lukke garageporten; du kan tjekke huset og løse eventuelle problemer, uanset hvor du er. Men hvad nu hvis en cyber-skurk lykkedes at få kontrol over systemet? Forskere ved IOActive fandt en samling af mangler i et populært hjemmeautomatiseringssystem, mangler, som en kriminel let kunne bruge til at overtage.
Belkins WeMo Home Automation-system bruger Wi-Fi og mobilt internet til at styre næsten enhver form for hjemmeelektronik. De sårbarheder, som IOActives team fandt, ville lade en angriber fjernstyre alle tilknyttede enheder, opdatere firmwaren med deres egen (ondsindede) version, fjernovervåge nogle enheder og muligvis få fuld adgang til hjemmenetværket.
Potentiale for problemer
En lang række WeMo-enheder er tilgængelige. Du kan få WeMo-opmærksomme LED-pærer, lysafbrydere, der tilbyder både fjernbetjening og brugsovervågning og fjernbetjeningsudtag. Babymonitorer, bevægelsessensorer, der er endda en fjernbetjening langsom komfur i værkerne. De opretter alle forbindelse via WiFi, og de skal alle kun oprette forbindelse til legitime brugere.
Forskerne påpegede, at en skurken med adgang til dit WeMo-netværk kunne tænde alt, hvilket resulterede i alt fra spild af elektricitet til et stegt kredsløb og potentielt en brand. Når WeMo-systemet er pwned, kunne en smart hacker parlay denne forbindelse til fuld adgang til hjemmenetværket. På flipsiden afslører babymonitoren og bevægelsessensorfunktionerne, om der er nogen derhjemme. Et ledigt hus er et dandy mål for nogle reelle indbrud.
Komedie af fejl
De sårbarheder, der blev fundet i systemet, er næsten latterlige. Firmware er signeret digitalt, sandt, men signaturnøglen og adgangskoden kan findes lige på enheden. Angribere kunne erstatte firmwaren uden at udløse sikkerhedskontrol ved blot at bruge den samme nøgle til at underskrive deres ondsindede version.
Enhederne validerer ikke SSL-certifikater (Secure Socket Layer), der bruges til at oprette forbindelse til Belkin-skytjenesten. Det betyder, at en cyber-skurke kan bruge et vilkårligt SSL-certifikat til at efterligne Belkin-moderskibet. Forskere fandt også sårbarheder i kommunikationsprotokollen mellem enhederne, så en angriber kunne få kontrol selv uden at udskifte firmwaren. Og (overraskelse!) De fandt en sårbarhed i Belkin API, der ville give en angriber fuld kontrol.
Hvad skal man gøre?
Du kan spørge, hvorfor offentliggør IOActive disse farlige åbenbaringer offentlige? Hvorfor tog de ikke til Belkin? Som det viser sig, gjorde de det. De fik bare ikke noget svar.
Hvis du er en af de anslåede halvmillioner WeMo-brugere, råder IOActive dig til at frakoble alle dine enheder med det samme. Det kan virke lidt drastisk, men i betragtning af alvorligheden af sikkerhedsmanglerne, potentialet for udnyttelse og den tilsyneladende manglende interesse fra Belkin, kan jeg se det. For fuld tekniske detaljer, se IOActives rådgivende online. Indtil Belkin lapper ting op, kan du overveje at prøve et andet hjemmeautomatiseringssystem.
