Video: 2CELLOS - Pirates Of The Caribbean [OFFICIAL VIDEO] (Gruodis 2024)
Namų automatika yra tokia šauni. Jums nereikia jaudintis, kad galbūt palikote įjungtą kavos aparatą ar pamiršote uždaryti garažo duris; galite patikrinti namą ir išspręsti bet kokias problemas, nesvarbu, kur esate. O kas, jei kibernetiniam sukčiui pavyko suvaldyti sistemą? „IOActive“ tyrėjai rado populiarios namų automatikos sistemos trūkumų kolekciją - trūkumų, kuriuos nusikaltėlis galėjo lengvai panaudoti perimdamas.
„Belkin“ „WeMo“ namų automatizavimo sistema naudoja „Wi-Fi“ ir mobilųjį internetą norėdama valdyti bet kokią namų elektroniką. Dėl pažeidžiamumų, kuriuos rado „IOActive“ komanda, užpuolikas galės nuotoliniu būdu valdyti visus prijungtus įrenginius, atnaujinti programinę-aparatinę įrangą savo (kenkėjiška) versija, nuotoliniu būdu stebėti kai kuriuos įrenginius ir galbūt gauti visišką prieigą prie namų tinklo.
Potenciali bėda
Yra daugybė „WeMo“ įrenginių. Galite įsigyti „WeMo“ žinomų LED lempučių, lempučių jungiklius, siūlančius ir nuotolinio valdymo bei naudojimo stebėseną, ir nuotolinio valdymo lizdus. Kūdikių monitoriai, judesio jutikliai, darbuose yra net nuotolinio valdymo pultelis. Jie visi jungiasi per „Wi-Fi“ ir turėtų jungtis tik su teisėtais vartotojais.
Tyrėjai atkreipė dėmesį į tai, kad apgaulė, turinti prieigą prie jūsų „WeMo“ tinklo, gali įjungti viską, kas gali sukelti elektros energijos švaistymą ir keistą grandinę bei galimą gaisrą. Kai „WeMo“ sistema bus suplanuota, sumanus įsilaužėlis gali pajungti šį ryšį visapusiškai prieigai prie namų tinklo. Apatinėje pusėje kūdikio monitoriaus ir judesio jutiklio funkcijos atskleis, ar yra kas nors namuose. Neužimtas namas yra nuobodus realiojo pasaulio įsilaužimo taikinys.
Klaidų komedija
Pažeidimai, kurie buvo rasti sistemoje, yra beveik juokingi. Firma yra pasirašyta skaitmeniniu būdu, tiesa, tačiau pasirašymo raktą ir slaptažodį galite rasti tiesiai įrenginyje. Užpuolikai gali pakeisti programinę-aparatinę įrangą nesukeldami saugumo patikrinimo paprasčiausiai naudodami tą patį raktą pasirašydami kenkėjišką versiją.
Įrenginiai nepatvirtina saugaus lizdo sluoksnio (SSL) sertifikatų, naudojamų prisijungiant prie „Belkin“ debesies paslaugos. Tai reiškia, kad elektroninis sukčius gali naudoti bet kokį atsitiktinį SSL sertifikatą, kad apsimetinėtų Belkin motinybe. Tyrėjai taip pat nustatė tarp įrenginių vykstančio ryšio protokolo pažeidžiamumą, kad užpuolikas galėtų įgyti valdymą net nepakeisdamas programinės įrangos. Ir (siurprizas!) Jie rado „Belkin“ API pažeidžiamumą, kuris užpuolikui leis visiškai kontroliuoti.
Ką daryti?
Galite paklausti, kodėl IOActive skelbia šiuos pavojingus apreiškimus viešai? Kodėl jie nevažiavo į Belkiną? Kaip paaiškėja, jie taip ir padarė. Jie tiesiog nesulaukė jokio atsakymo.
Jei esate vienas iš apytiksliai pusės milijono „WeMo“ vartotojų, „IOActive“ pataria nedelsiant atjungti visus savo įrenginius. Tai gali atrodyti šiek tiek drastiška, bet, atsižvelgiant į saugumo trūkumų sunkumą, išnaudojimo galimybes ir akivaizdų Belkino susidomėjimą, aš tai matau. Norėdami gauti visą techninę informaciją, apsilankykite „IOActive“ patarime internete. Kol „Belkin“ nesutvarkys dalykų, galite apsvarstyti galimybę išbandyti kitokią namų automatikos sistemą.
