IOActive stanno segnalando molteplici vulnerabilità nella varietà di dispositivi di automazione delle case di Belkin. Finora Belkin è rimasto in silenzio sulla questione, ma CERT ha ora pubblicato la propria consulenza elencando i difetti della sicurezza.
È una reazione eccessiva per una possibilità su un milione che qualcuno sia in grado di hackerare le tue luci? O è solo la fine sottile del cuneo e il tempo per l’automazione delle case e la rete di cose da sedersi e diventare autentiche sulla sicurezza? Dai un’occhiata al video della sicurezza della scorsa notte TWIT ora podcast per entrambe le parti del disaccordo, quindi facci capire cosa credi nei commenti qui sotto …
SEATTLE, USA – 18 febbraio 2014 – Ioactive, Inc., il principale fornitore mondiale di servizi di sicurezza delle informazioni esperte, ha rivelato oggi che ha scoperto diverse vulnerabilità nei gadget di Belkin Wemo House Automation che potrebbero avere un impatto su oltre mezzo milione di utenti. Wemo di Belkin utilizza il Wi-Fi e il Web mobile per gestire l’elettronica domestica in qualsiasi parte del mondo direttamente dallo smartphone degli utenti.
Mike Davis, lo studio di studio primario di Ioactive, ha scoperto diverse vulnerabilità nel set di prodotti Wemo che fornisce agli aggressori la capacità di:
Gestire a distanza i gadget connessi per automazione di Wemo House su Internet
Esegui aggiornamenti del firmware dannoso
Screeni a distanza i gadget (in alcuni casi)
Accedi a una rete di case interne
Davis ha dichiarato: “Mentre colleghiamo le nostre case a Internet, è progressivamente importante per i fornitori di gadget di Internet delle cose per garantire che le metodologie di sicurezza ragionevoli vengano abbracciate all’inizio dei cicli di avanzamento del prodotto. Ciò mitiga l’esposizione dei loro clienti e riduce il rischio. Un’altra preoccupazione è che i gadget di Wemo utilizzino i sensori di movimento, che possono essere utilizzati da un utente malintenzionato per lo schermo a distanza di un’occupazione all’interno della casa. ”
L’impatto
Le vulnerabilità scoperte all’interno dei gadget di Belkin Wemo sottopongono le persone a una serie di minacce potenzialmente costose, dagli incendi domestici con possibili conseguenze tragiche fino alla semplice sprege dell’elettricità. La ragione di ciò è che, dopo che gli aggressori mettono a repentaglio i dispositivi Wemo, possono essere utilizzati per accendere i gadget connessi a distanza e OFF in qualsiasi tipo di tempo. A condizione che il numero di gadget Wemo in uso, è estremamente probabile che molti degli apparecchi connessi e i gadget saranno incustoditi, aumentando quindi la minaccia rappresentata da queste vulnerabilità.
Inoltre, quando un aggressore ha stabilito una connessione con un gadget Wemo all’interno di una rete di vittime; Il gadget può essere utilizzato come punto di riferimento per assaltare altri gadget come laptop, telefoni cellulari e archiviazione dei dati di rete connessa.
Le vulnerabilità
Le immagini del firmware di Belkin Wemo che vengono utilizzate per aggiornare i gadget sono firmate con la crittografia a chiave pubblica per proteggere da modifiche non autorizzate. Tuttavia, la chiave di firma e la password sono trapelate sul firmware già installato sui dispositivi. Ciò consente agli aggressori di utilizzare la stessa identica chiave di firma e una password per indicare il proprio firmware dannoso e bypassare i controlli di sicurezza durante il processo di aggiornamento del firmware.
Inoltre, i gadget di Belkin Wemo non convalidano i certificati SSL (Secure Socket Layer) che impediscono loro di convalidare le comunicazioni con il servizio cloud di Belkin, incluso il feed RSS di aggiornamento del firmware. Ciò consente agli aggressori di utilizzare qualsiasi tipo di certificato SSL per impersonare i servizi cloud di Belkin e spingere gli aggiornamenti del firmware dannoso e catturare le credenziali allo stesso tempo. A causa dell’integrazione del cloud, l’aggiornamento del firmware viene spinto a casa della vittima, indipendentemente dal quale gadget accoppiato riceve la notifica di aggiornamento o la sua posizione fisica.
Le strutture di comunicazione Web utilizzate per comunicare i gadget di Belkin Wemo si basano su un protocollo abuso progettato per l’utilizzo dei servizi VoIP (Voice Over Web Protocol) per bypassare le restrizioni di firewall o NAT. Lo fa in un metodo che compromette tutti i gadget di Wemo producendo un Wemo Darknet online in cui tutti i gadget Wemo possono essere collegati direttamente; E, con alcune ipotesi limitate di un “numero segreto”, gestito anche senza l’attacco di aggiornamento del firmware.
Anche l’interfaccia di programmazione dell’applicazione del server Belkin Wemo (API) è stata scoperta vulnerabile a una vulnerabilità di inclusione XML, che consentirebbe agli aggressori di mettere a repentaglio tutti i dispositivi Wemo.
Consultivo
Ioactive si sente estremamente fortemente riguardo alla divulgazione responsabile e come tale ha lavorato con cura con CERT sulle vulnerabilità che sono state scoperte. Cert, che pubblicherà il proprio avviso oggi, ha fatto una serie di tentativi di contattare Belkin in merito ai problemi, tuttavia, Belkin non ha risposto.
A causa del fatto che Belkin non ha creato alcun tipo di soluzione per i problemi discussi, Ioactive ha ritenuto importante rilasciare un consulenza e un SuggeSTS scollegando tutti i gadget dai prodotti Wemo colpiti.
[AGGIORNAMENTO] Belkin ha ora consigliato che “gli utenti con la più recente versione del firmware (versione 3949) non sono in pericolo per attacchi di firmware dannosi o la gestione a distanza o il monitoraggio dei gadget Wemo da dispositivi non autorizzati”. Aggiorna ora il tuo firmware.
Belkin.com: Wemo offerto da Amazon
Voglio di più? – Seguici su Twitter, come noi su Facebook, o iscriviti al nostro feed RSS. Puoi anche consegnare queste notizie via e -mail, direttamente alla tua casella di posta ogni giorno.
Condividi questo:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
E-mail
Di più
WhatsApp
Stampa
Skype
Tumblr
Telegramma
Tasca