Video: LET'S HIJACK THE PREACHING | Pastor David Lynn | Speakers Corner (Nobyembre 2024)
Ang automation ng bahay ay sobrang cool. Hindi mo kailangang mag-alala na maaaring iwanan mo ang coffeepot, o nakalimutan upang isara ang pintuan ng garahe; maaari mong suriin ang bahay at ayusin ang anumang mga problema, kahit nasaan ka. Ngunit paano kung ang isang cyber crook ay pinamamahalaang upang makontrol ang system? Ang mga mananaliksik sa IOActive ay natagpuan ang isang koleksyon ng mga kapintasan sa isang tanyag na sistema ng automation ng bahay, mga bahid na madaling magamit ng isang kriminal.
Ang WeMo Home Automation system ng Belkin ay gumagamit ng Wi-Fi at mobile Internet upang makontrol ang halos anumang uri ng mga elektronikong bahay. Ang mga kahinaan na natagpuan ng koponan ng IOActive ay magpapahintulot sa isang umaatake na malayo na kontrolin ang anumang mga nakalakip na aparato, i-update ang firmware gamit ang kanilang sariling (nakakasama) na bersyon, malayong subaybayan ang ilang mga aparato, at posibleng makakuha ng buong pag-access sa home network.
Potensyal para sa Problema
Ang isang malawak na hanay ng mga WeMo aparato ay magagamit. Maaari kang makakuha ng WeMo-LED LED bombilya, light switch na nag-aalok ng parehong remote-control at monitoring monitoring, at mga remote-control outlet. Ang mga monitor ng sanggol, sensor ng paggalaw, mayroong kahit na isang remote-control mabagal na kusinilya sa mga gawa. Lahat sila ay kumonekta sa pamamagitan ng WiFi, at silang lahat ay dapat kumonekta lamang sa mga lehitimong gumagamit.
Itinuro ng mga mananaliksik na ang isang baluktot na may pag-access sa iyong network ng WeMo ay maaaring i-on ang lahat, na nagreresulta sa anumang bagay mula sa isang pag-aaksaya ng kuryente sa isang pinirito na circuit at, potensyal, isang sunog. Kapag ang sistema ng WeMo ay naka-pwned, isang matalino na hacker ay maaaring mag-parlay na koneksyon sa buong pag-access sa home network. Sa gilid ng flip, ang monitor ng sanggol at mga tampok ng sensor sensor ay magbubunyag kung mayroong sinumang tahanan. Ang isang walang tirahan na bahay ay isang naka-target na target para sa ilang mga real-world na pagnanakaw.
Komedya ng Mga Mali
Ang mga kahinaan na natagpuan sa system ay halos natatawa. Ang firmware ay awtomatikong naka-sign, totoo, ngunit ang pag-sign key at password ay matatagpuan nang tama sa aparato. Maaaring palitan ng mga atake ang firmware nang walang pag-trigger ng mga tseke ng seguridad sa pamamagitan lamang ng paggamit ng parehong key upang lagdaan ang kanilang nakakahamak na bersyon.
Hindi pinatunayan ng mga aparato ang mga Secure Socket Layer (SSL) na mga sertipiko na ginagamit sa pagkonekta sa serbisyo ng ulap ng Belkin. Nangangahulugan ito na ang isang cyber-crook ay maaaring gumamit ng anumang random na sertipiko ng SSL upang ibigay ang pagiging ina ng Belkin. Natagpuan din ng mga mananaliksik ang mga kahinaan sa protocol ng komunikasyon ng inter-aparato, na ang isang magsasalakay ay maaaring makakuha ng kontrol kahit na hindi pinapalitan ang firmware. At (sorpresa!) Natagpuan nila ang isang kahinaan sa Belkin API na magbibigay sa isang ganap na kontrol.
Anong gagawin?
Maaari mong tanungin, bakit ang IOActive na ginagawang publiko ang mga mapanganib na paghahayag na ito? Bakit hindi sila pumunta sa Belkin? Sa paglabas nito, ginawa nila. Hindi lang sila nakakuha ng anumang tugon.
Kung isa ka sa tinantyang kalahating milyong mga gumagamit ng WeMo, pinapayuhan ka ng IOActive na idiskonekta kaagad ang lahat ng iyong mga aparato. Iyon ay maaaring mukhang medyo marahas, ngunit binigyan ng kalubhaan ng mga bahid ng seguridad, ang potensyal para sa pagsasamantala, at ang maliwanag na kakulangan ng interes mula sa Belkin, nakikita ko ito. Para sa buong detalye ng teknikal, suriin ang online na advisory ng IOActive. Hanggang sa mai-patch ni Belkin ang mga bagay, maaari mong isaalang-alang ang pagsubok ng ibang sistema ng automation ng bahay.
