Video: HAKKERIT PILAA KAIKEN! - Fall Guys Suomi (Marraskuu 2024)
Kodin automaatio on niin viileä. Sinun ei tarvitse huolehtia siitä, että olet saattanut jättää kahvipannun päälle tai unohtaa sulkea autotallin oven; voit tarkistaa talon ja korjata mahdolliset ongelmat riippumatta siitä, missä olet. Mutta entä jos verkkokyrä onnistuisi saamaan järjestelmän hallintaan? IOActive-tutkijat löysivät suositun kodiautomaatiojärjestelmän virheitä, joita rikollinen voisi helposti käyttää haltuunottoon.
Belkinin WeMo-kotiautomaatiojärjestelmä käyttää Wi-Fi: tä ja mobiili-Internetiä hallitsemaan kaikenlaista kotielektroniikkaa. IOActive-ryhmän löytämät haavoittuvuudet antavat hyökkääjälle etäohjata liitettyjä laitteita, päivittää laiteohjelmiston omalla (haitallisella) versiollaan, valvoa kauko-ohjauksella joitain laitteita ja mahdollisesti saada täyden pääsyn kotiverkkoon.
Mahdollinen ongelma
Laaja valikoima WeMo-laitteita on saatavana. Voit hankkia WeMo-tietoisia LED-lamppuja, valokytkimiä, jotka tarjoavat sekä kaukosäätimen että käytön valvonnan, ja kaukosäätimen pistorasioita. Vauvamonitorit, liiketunnistimet, töissä on jopa hidas liesi kaukosäätimellä. He kaikki muodostavat yhteyden langattoman verkon kautta, ja heidän kaikkien tulisi olla yhteydessä vain laillisiin käyttäjiin.
Tutkijat huomauttivat, että huijaus, jolla on pääsy WeMo-verkkoosi, voi kytkeä kaiken päälle, aiheuttaen mitä tahansa sähkön tuhlauksesta paistettuihin piireihin ja mahdollisesti tulipalon. Kun WeMo-järjestelmä on punnittu, fiksu hakkeri voi parloida tämän yhteyden täydelliseen kotiverkon käyttöoikeuteen. Kääntöpuolella vauvamonitorin ja liiketunnistimen ominaisuudet paljastavat, onko täällä ketään. Tyhjä talo on ikävä kohde joillekin todellisille murtovarkauksille.
Komedia virheistä
Järjestelmässä havaitut haavoittuvuudet ovat melkein naurettavia. Laiteohjelmisto on digitaalisesti allekirjoitettu, tosi, mutta allekirjoitusavain ja salasana löytyvät suoraan laitteesta. Hyökkääjät voivat korvata laiteohjelmiston käynnistämättä suojaustarkastuksia yksinkertaisesti käyttämällä samaa avainta allekirjoittaakseen heidän haittaohjelmansa.
Laitteet eivät tarkista SSL-varmenteita, joita käytetään yhteyden muodostamisessa Belkin-pilvipalveluun. Tämä tarkoittaa, että verkkokrokki voisi käyttää mitä tahansa satunnaista SSL-varmennetta matkiakseen Belkinin äitiyhtiöön. Tutkijat havaitsivat myös laitteiden välisen viestinnän protokollan haavoittuvuuksia, niin että hyökkääjä voi saada hallintaansa edes vaihtamatta laiteohjelmistoa. Ja (yllättäen!) He löysivät Belkin API: n haavoittuvuuden, joka antaisi hyökkääjälle täyden hallinnan.
Mitä tehdä?
Saatat kysyä, miksi IOActive julkaisee nämä vaaralliset ilmoitukset? Miksi he eivät menneet Belkiniin? Kuten käy ilmi, he tekivät. He eivät vain saaneet mitään vastausta.
Jos olet yksi arvioidusta puolen miljoonasta WeMon käyttäjästä, IOActive kehottaa sinua irrottamaan kaikki laitteet välittömästi. Se voi vaikuttaa hieman dramaattiselta, mutta ottaen huomioon turvallisuusvirheiden vakavuuden, hyväksikäyttömahdollisuudet ja Belkinin ilmeisen kiinnostuksen puutteen, voin nähdä sen. Katso täydelliset tekniset tiedot IOActive-neuvonnasta verkossa. Ennen kuin Belkin ei korjata asioita, voit harkita toisen kodin automaatiojärjestelmän kokeilua.