Ioactive rapporteren meerdere kwetsbaarheden in de WEMO -variëteit van Belkin aan huisautomatiseringsapparaten. Tot nu toe hebben Belkin hierover stil, maar Cert heeft nu zijn eigen advies gepubliceerd met de beveiligingsfouten.
Is dit een overreactie met een op een miljoen mogelijkheid dat iemand je lichten kan hacken? Of is het gewoon het dunne uiteinde van de wig en tijd voor huisautomatisering en het web van dingen om rechtop te zitten en echt te worden over beveiliging? Bekijk de video van gisteravond Twit Security Now Podcast voor beide kanten van het meningsverschil en laat ons begrijpen wat u gelooft in de reacties hieronder …
Seattle, VS – 18 februari 2014 – Ioactive, Inc., de toonaangevende wereldwijde leverancier van expertinfo -beveiligingsdiensten, heeft vandaag onthuld dat het verschillende kwetsbaarheden heeft ontdekt in Belkin Wemo House Automation -gadgets die van invloed kunnen zijn op meer dan een half miljoen gebruikers. Belkin’s Wemo maakt gebruik van Wi-Fi en het mobiele web om huiselektronica overal ter wereld rechtstreeks vanaf de smartphone van de gebruikers te beheren.
Mike Davis, de primaire onderzoeksstudiewetenschapper van Ioactive, ontdekte verschillende kwetsbaarheden in de WEMO -productset die aanvallers de mogelijkheid biedt:
Beheer op afstand Wemo House Automation verbonden gadgets via internet
Voer kwaadaardige firmware -updates uit
Scherm de gadgets op afstand (in sommige gevallen)
Toegang tot een interieurnetwerk
Davis zei: “Terwijl we onze huizen aan internet koppelen, is het geleidelijk belangrijk voor leveranciers van internet-of-dings gadget-leveranciers om ervoor te zorgen dat redelijke beveiligingsmethoden worden omarmd, vroeg in productontwikkelingscycli. Dit vermindert de blootstelling van hun klant en vermindert het risico. Een andere zorg is dat de WEMO -gadgets bewegingssensoren gebruiken, die door een aanvaller kunnen worden gebruikt om op afstand te screenen in de bezetting in het huis. ”
De gevolgen
De kwetsbaarheden die binnen de Belkin Wemo -gadgets worden ontdekt, onderwerpen individuen aan een aantal potentieel dure bedreigingen, van huisbranden met mogelijke tragische gevolgen tot de eenvoudige verspilling van elektriciteit. De reden hiervoor is dat, nadat aanvallers de WEMO -apparaten in gevaar brengen, ze kunnen worden gebruikt om op afstand verbonden gadgets aan te zetten en op elk soort tijd uit te schakelen. Op voorwaarde dat het aantal WEMO -gadgets in gebruik is, is het zeer waarschijnlijk dat veel van de verbonden apparaten en gadgets onbeheerd zullen zijn, waardoor de dreiging van deze kwetsbaarheden wordt vergroot.
Bovendien, wanneer een aanvaller een verband heeft gelegd met een WEMO -gadget binnen een slachtoffersnetwerk; De gadget kan worden gebruikt als voet aan de grond om andere gadgets zoals laptops, mobiele telefoons en verbonden netwerkgegevensopslag aan te vallen.
De kwetsbaarheden
De Belkin Wemo -firmwarefoto’s die worden gebruikt om de gadgets bij te werken, zijn ondertekend met openbare sleutelcodering om te beschermen tegen ongeautoriseerde wijzigingen. De ondertekeningssleutel en het wachtwoord worden echter gelekt op de firmware die al op de apparaten is geïnstalleerd. Dit stelt aanvallers in staat om exact dezelfde ondertekeningssleutel en wachtwoord te gebruiken om hun eigen kwaadaardige firmware te indiceren en om beveiligingscontroles te omzeilen tijdens het firmware -updateproces.
Bovendien valideren Belkin Wemo -gadgets niet de beveiligde Socket Layer (SSL) -certificaten die hen voorkomen dat ze communicatie met de cloudservice van Belkin, inclusief de firmware -update RSS -feed, niet valideren. Dit stelt aanvallers in staat om elk type SSL -certificaat te gebruiken om de cloudservices van Belkin voor te doen en kwaadaardige firmware -updates te pushen en op exact hetzelfde moment te vangen. Vanwege de cloudintegratie wordt de firmware -update naar het huis van het slachtoffer geduwd, ongeacht welke gepaarde gadget de update -melding of de fysieke locatie ontvangt.
De webcommunicatie -faciliteiten die worden gebruikt om Belkin Wemo -gadgets te communiceren, zijn gebaseerd op een misbruikt protocol dat is ontworpen voor gebruik door Voice Over Web Protocol (VOIP) -services om firewall- of NAT -beperkingen te omzeilen. Het doet dit in een methode die alle WEMO -gadgetsbeveiliging in gevaar brengt door een online Wemo Darknet te produceren waar alle WEMO -gadgets rechtstreeks kunnen worden gekoppeld; En, met een beperkte gissingen van een ‘geheim nummer’, zelfs zonder de aanval van de firmware -update.
De Belkin Wemo Server Application Programming Interface (API) werd ook ontdekt als kwetsbaar voor een XML -inclusie -kwetsbaarheid, waardoor aanvallers alle WEMO -apparaten in gevaar zouden kunnen brengen.
Advies
IOActive voelt extreem sterk over verantwoordelijke openbaarmaking en zoals zodanig zorgvuldig werkte met Cert over de kwetsbaarheden die werden ontdekt. CERT, dat vandaag zijn eigen advies zal publiceren, deed een aantal pogingen om contact te maken met Belkin over de kwesties, maar Belkin reageerde niet.
Omdat Belkin geen enkele vorm van oplossingen creëerde voor de besproken problemen, vond Ioactive het belangrijk om een advies vrij te geven en SuggeST’s halen alle gadgets los van de getroffen WEMO -producten.
[UPDATE] Belkin heeft nu geadviseerd dat “gebruikers met de meest recente firmware -release (versie 3949) geen gevaar lopen voor kwaadaardige firmware -aanvallen of op afstand WEMO -gadgets beheren of volgen van ongeautoriseerde apparaten”. Werk nu uw firmware bij.
Belkin.com: Wemo aangeboden van Amazon
Meer willen? – Volg ons op Twitter, zoals wij op Facebook, of meld u aan voor onze RSS -feed. U kunt deze nieuwsverhalen zelfs via e -mail laten bezorgen, rechtstreeks naar uw inbox.
Deel dit:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
E -mail
Meer
Whatsapp
Afdrukken
Skype
Tumblr
Telegram
Zak