IOACTIVE報告了Belkin的Wemo Wemo種類繁多的房屋自動化設備中的多個漏洞。到目前為止,Belkin一直對此事保持沉默,但Cert現在發布了自己的諮詢列表,列出了安全缺陷。
這是某人能夠破解您的燈光的一百萬個可能性的過度反應嗎?還是僅僅是楔子的稀薄端,也是房屋自動化的時間以及事物業務的網絡坐下來以及對安全性的真實性?查看昨晚Twit Security的視頻現在播放分歧的雙方,然後讓我們在下面的評論中理解您的信念…
美國西雅圖 – 2014年2月18日 – 全球領先的專家信息安全服務供應商IoActive,Inc。今天透露,它已經發現了Belkin Wemo House自動化小工具的一些漏洞,這些漏洞可能會影響超過半百萬用戶。 Belkin的Wemo利用Wi-Fi和移動網絡直接從用戶的智能手機中直接管理世界上任何地方的房屋電子設備。
IOACTIVE的主要研究科學家邁克·戴維斯(Mike Davis)發現了WEMO產品集中的幾個漏洞,為攻擊者提供了以下功能:
遠程管理Wemo House自動化通過互聯網連接的小工具
執行惡意固件更新
遠程篩選小工具(在某些情況下)
訪問室內房屋網絡
戴維斯說:“當我們將房屋與互聯網聯繫起來時,對於物種互聯網小工具供應商來說,確保合理的安全方法在產品促進週期的早期接受。這可以減輕客戶的曝光率,並降低風險。另一個問題是,Wemo小工具利用了運動傳感器,攻擊者可以將其用於遠程篩查房屋內的佔用。”
影響
Belkin Wemo小工具中發現的脆弱性受到了許多潛在昂貴的威脅,從可能的悲慘後果到簡單的電力浪費,這可能是昂貴的威脅。這樣做的原因是,在攻擊者危害WEMO設備之後,可以將它們用於遠程打開連接的小工具,並在任何類型的時間內關閉。如果使用的WEMO小工具數量,很可能會無人看管許多連接的電器以及小工具,從而增加這些漏洞所帶來的威脅。
此外,當攻擊者在受害者網絡中建立了與Wemo小工具的聯繫時;該小工具可以用作攻擊其他小工具的立足點,例如筆記本電腦,手機以及連接的網絡數據存儲。
漏洞
用於更新小工具的Belkin Wemo固件圖片具有公共密鑰加密簽名,以防止未經授權的修改。但是,簽名鍵和密碼在設備上已經安裝的固件上洩漏。這使攻擊者能夠使用完全相同的簽名密鑰以及密碼來指示自己的惡意固件以及在固件更新過程中進行繞過安全檢查。
此外,Belkin Wemo小工具不驗證安全套接字層(SSL)證書,以阻止其與Belkin的雲服務驗證通信,包括固件更新RSS fef。這使攻擊者能夠利用任何類型的SSL證書來模仿Belkin的雲服務,並推動惡意固件更新以及同時獲得憑據。由於雲集成,固件更新被推到受害者的房子上,無論哪種配對的小工具都會收到更新通知或其物理位置。
用於通信Belkin Wemo小工具的Web通信設施基於濫用協議,該協議旨在通過Web協議(VOIP)服務使用,以繞過防火牆或NAT限制。它以一種通過生產在線Wemo Darknet的方法來損害所有WEMO小工具安全性的方法來做到這一點。而且,由於對“秘密數字”的猜測有限,即使沒有固件更新攻擊也是如此。
Belkin Wemo服務器應用程序編程接口(API)同樣容易受到XML包容性漏洞的影響,這將使攻擊者能夠危害所有WEMO設備。
諮詢
IOACTIVE對責任披露以及這種發現的漏洞的認真披露感到非常強烈。 CERT將在今天發布自己的諮詢活動,並進行了許多嘗試與Belkin有關這些問題的嘗試,但是,Belkin沒有響應。
由於貝爾金(Belkin)沒有為討論的問題創建任何類型的修復程序,因此,IOACTIVE認為發布諮詢和SUGGE很重要STS從受影響的WEMO產品中拔下所有小工具。
[更新] Belkin現在建議“具有最新固件版本(版本3949)的用戶對惡意固件攻擊或遠程管理或跟踪Wemo Gadgets從未授權的設備沒有危險”。 立即更新您的固件。
Belkin.com:Wemo從亞馬遜提供
想要更多? – 像我們在Facebook上一樣在Twitter上關注我們,或註冊我們的RSS feed。 您甚至可以通過電子郵件將這些新聞報導直接發送給您的收件箱。
分享這個:
Facebook
推特
reddit
LinkedIn
Pinterest
電子郵件
更多的
WhatsApp
打印
Skype
tumblr
電報
口袋