Video: Top 10 cei mai buni HACKERI din lume (Octombrie 2024)
Automatizarea la domiciliu este atât de faină. Nu trebuie să vă faceți griji că ați putut lăsa cofetul pornit sau ați uitat să închideți ușa garajului; puteți verifica casa și rezolva orice probleme, indiferent unde vă aflați. Dar dacă un cyber escrocher a reușit să obțină controlul asupra sistemului? Cercetătorii de la IOActive au găsit o colecție de defecte într-un sistem popular de automatizare a locuinței, defecte pe care un criminal le-ar putea folosi cu ușurință pentru a prelua.
Sistemul WeMo Home Automation de la Belkin folosește Wi-Fi și Internetul mobil pentru a controla aproape orice fel de electronică casnică. Vulnerabilitățile pe care le-a găsit echipa IOActive ar permite unui atacator să controleze de la distanță toate dispozitivele atașate, să actualizeze firmware-ul cu propria versiune (dăunătoare), să monitorizeze de la distanță unele dispozitive și, eventual, să obțină acces complet la rețeaua de domiciliu.
Potențial pentru probleme
O gamă vastă de dispozitive WeMo sunt disponibile. Puteți obține becuri LED conștiente WeMo, întrerupătoare de lumină care oferă atât control de la distanță și monitorizare a utilizării, cât și prize de control de la distanță. Monitoare pentru bebeluși, senzori de mișcare, există chiar și o lucrare lentă cu telecomandă. Toate se conectează prin WiFi și toți ar trebui să se conecteze doar cu utilizatori legitimi.
Cercetătorii au subliniat că un escrocher cu acces la rețeaua dvs. WeMo ar putea activa totul, rezultând din deșeuri de electricitate la un circuit prăjit și, eventual, un incendiu. Odată ce sistemul WeMo este pus la punct, un hacker inteligent ar putea reda această conexiune în acces complet la rețeaua de domiciliu. Pe partea flip, monitorul pentru bebeluși și funcțiile senzorului de mișcare vor dezvălui dacă există cineva acasă. O casă neocupată este o țintă dandy pentru o oarecare efracție din lumea reală.
Comedia erorilor
Vulnerabilitățile care au fost găsite în sistem sunt aproape de râs. Firmware-ul este semnat digital, adevărat, dar cheia de semnare și parola pot fi găsite chiar în dispozitiv. Atacatorii ar putea înlocui firmware-ul fără a declanșa verificări de securitate prin simpla folosire a aceleiași taste pentru a semna versiunea lor rău intenționată.
Dispozitivele nu validează certificatele SSL (Secure Socket Layer) utilizate în conectarea cu serviciul cloud Belkin. Asta înseamnă că un cyber-escroc ar putea folosi orice certificat SSL aleatoriu pentru a însuși nava maternă Belkin. Cercetătorii au descoperit, de asemenea, vulnerabilități în protocolul de comunicare inter-dispozitiv, astfel încât un atacator ar putea obține controlul chiar și fără a înlocui firmware-ul. Și (surpriză!) Au găsit o vulnerabilitate în API-ul Belkin care ar oferi unui atacant un control deplin.
Ce sa fac?
V-ați putea întreba, de ce IOActive face publice aceste revelații periculoase? De ce nu au mers la Belkin? După cum se dovedește, au făcut-o. Pur și simplu nu au primit niciun răspuns.
Dacă sunteți unul dintre cei aproximativ jumătate de milion de utilizatori WeMo, IOActive vă sfătuiește să deconectați imediat toate dispozitivele. Acest lucru poate părea un pic drastic, dar având în vedere gravitatea defectelor de securitate, potențialul de exploatare și lipsa aparentă de interes din partea lui Belkin, pot să văd. Pentru detalii tehnice complete, consultați online consultanța IOActive. Până când Belkin corectează lucrurile, este posibil să încercați să încercați un sistem de automatizare a locuinței.
