Video: The price of shame | Monica Lewinsky (Oktober 2024)
Domača avtomatizacija je tako kul. Ni vam treba skrbeti, da ste morda pustili kavo vklopljeno ali pozabili zapreti garažna vrata; lahko preverite hišo in odpravite morebitne težave, ne glede na to, kje ste. Kaj pa, če je spletnemu prevarantu uspelo dobiti nadzor nad sistemom? Raziskovalci pri IOActive so v priljubljenem sistemu avtomatizacije doma našli množico napak, ki bi jih kriminalist zlahka uporabil za prevzem.
Belkinov sistem za domačo avtomatizacijo WeMo uporablja Wi-Fi in mobilni internet za nadzor nad kakršno koli domačo elektroniko. Ranljivosti, za katere je ugotovila ekipa IOActive-a, bi napadalcu omogočile daljinski nadzor vseh priloženih naprav, posodabljanje strojne programske opreme z lastno (zlonamerno) različico, daljinsko spremljanje nekaterih naprav in morda celoten dostop do domačega omrežja.
Potencial za težave
Na voljo je ogromna paleta naprav WeMo. Dobite lahko LED žarnice, ki jih poznamo WeMo, stikala za luči, ki ponujajo tako nadzor na daljavo in uporabo, kot tudi oddaljene vtičnice. Otroški monitorji, senzorji gibanja, v delu je celo počasni štedilnik na daljinsko upravljanje. Vsi se povezujejo prek WiFi in vsi bi se morali povezati samo z zakonitimi uporabniki.
Raziskovalci so poudarili, da bi lahko lopov z dostopom do vašega omrežja WeMo vse vključil, kar bi povzročilo karkoli, od zapravljanja električne energije do ocvrtega kroga in potencialno do požara. Ko je sistem WeMo razširjen, bo pameten heker lahko povezavo omogočil v polnem dostopu do domačega omrežja. Funkcije otroškega monitorja in senzorja gibanja bodo na drugi strani razkrile, ali je kdo doma. Neposeljena hiša je zaslepljena tarča nekaterih vlomov v resničnem svetu.
Komedija napak
Ranljivosti, ki so jih našli v sistemu, so skoraj smešni. Programska oprema je digitalno podpisana, resnično, vendar je ključ in geslo za podpisovanje mogoče najti v napravi. Napadalci bi lahko zamenjali vdelano programsko opremo, ne da bi sprožili varnostne preglede preprosto z istim ključem za podpisovanje zlonamerne različice.
Naprave ne potrdijo potrdil SSL (Secure Socket Layer), ki se uporabljajo pri povezovanju s storitvijo Belkin v oblaku. To pomeni, da lahko kiber-prevarant uporabi katero koli naključno potrdilo SSL, da se predstavi v Belkinem materinstvu. Raziskovalci so odkrili tudi ranljivosti v komunikacijskem protokolu med napravami, tako da bi lahko napadalec pridobil nadzor tudi brez zamenjave vdelane programske opreme. In (presenečenje!) So našli Belkin API, ki bi napadalcu omogočil popoln nadzor.
Kaj storiti?
Lahko se vprašate, zakaj IOActive objavlja ta nevarna razkritja? Zakaj niso odšli v Belkin? Kot kaže, so se. Preprosto niso dobili nobenega odziva.
Če ste eden od ocenjenih pol milijona uporabnikov WeMo, vam IOActive svetuje, da takoj izključite vse svoje naprave. To se morda zdi nekoliko drastično, toda glede na resnost napak v varnosti, možnost izkoriščanja in Belkinino navidezno nezainteresiranost. Za popolne tehnične podrobnosti glejte svetovanje IOActive na spletu. Dokler Belkin ne popravi stvari, morda poskusite poskusiti z drugim sistemom za avtomatizacijo doma.
