Эксклюзив: антивирус находит дыры в безопасности в Wemo и смарт-вилка

Умная вилка Belkin позволит вам использовать ваш смартфон, чтобы превратить ваш устройства включения и выключения в любом месте, но антивирус нашел несколько дыр в своей безопасности. Не волнуйтесь, Белкин решил проблему.

Exclusive: Bitdefender Finds Security Hole in Wemo Smart Plug

Вот представь. Сейчас ночь, и ваш звонок. Вы включите несколько огней и пойти проверить, но как только вы поворачиваете ручку двери, ваш гаснет свет и пару злоумышленников засунуть их в сторону. ОК, это не вероятный сценарий, но пока Белкин исправлены уязвимости Bitdefender для безопасности группа обнаружила в Белкин WeMo Insight в смарт-вилка, это как минимум возможность. Скорее всего, подвиги могли бы включать мониторинг вашу деятельность и присутствие на основе использования смарт-вилки, красуется вам включить и выключить свет, или просто взяв контроль над устройством и использовать его как плацдарм для вынюхивая все личные данные на вашей домашней сети.

Bitdefender для Интернета вещей служба безопасности сотрудничает с PCMag то, чтобы поставить популярных устройств IoT для теста. Мы позволяем им знать, что приборы очень важны, они дают нам подробности своей находки, а компания за устройство получает возможность исправить любые дыры в безопасности. Выигрывают все! В прошлый раз мы сообщили об уязвимости в кольцо дверной звонок. На этот раз мы обратим наше внимание на смарт-вилки.

Только Что Это Умная Вилка?

Вы подключите Wemo и понимание смарт подключить в розетку, подключить его к вашей домашней сети, и подключите лампу или другой электрический гаджет в нее. Теперь вы можете превратить устройств и выключать дистанционно с помощью устройства iOS или Android. Вы даже можете запрограммировать его на автоматическое действие, используя IFTTT скрипты.

Этот продукт выходит за рамки конкуренции несколькими способами. В частности, он контролирует мощность с помощью вилки и даже говорит вам, сколько это стоит. Наши аппаратные команды счел нужным назначить его “выбор редакции”, потому что он умнее, чем обычный смарт-вилка. Утечки секретной информации не был бы таким умным, хотя, поэтому мы попросили в PHP команда, чтобы поставить этот гаджет на тест.

Безопасные Коммуникации

Если вы хотите, чтобы устройство реагирует на команды со смартфона, для этого нужно общаться по-разному. Ему нужен доступ к вашей локальной сети, естественно. Посредством локальной сети, он должен надежно достигнет своего облачного Центра управления. И смартфон приложение также нуждается в надежной связи с центром управления. В PHP команда, возглавляемая мастером уровня 9001 (в своем Твиттере) Алекс “Джей” Балан, выяснять все эти соединения и нашли некоторые хорошие новости.

Связь между устройством и облаком сервер использует защищенное HTTPS-соединение, которое является хорошим началом. Проверка подлинности основывается на MAC-адрес устройства, в сочетании с секретным ключом. Отдельные команды используют HTTPS, а также, и они с цифровой подписью для предотвращения взлома.

Команда обнаруживают, что устройство получает обновления прошивки через незащищенное HTTP-соединение. Что может быть плохо, потому что злоумышленник может заставить взломанной прошивки, тем самым полный контроль над устройством. Однако, Белкин встроенный механизм, чтобы отменить все, но проверенный, законный обновления прошивки.

Обмен данными между приложением смартфона и облако тоже обеспечены. Каждое сообщение содержит уникальный идентификатор смартфона и его MAC-адрес. Сервер только принимает команды от известных устройств. MAC-адреса могут быть подделаны, конечно, и Bitdefender Балан подтвердил, что то же самое верно идентификаторов смартфон. Но он отметил, что это будет довольно сложно для злоумышленника, чтобы заполучить действительный MAC-адрес и идентификатор пара соответствия конкретного устройства смартфон. Кроме того, им не нужно, потому что есть (вернее был) еще один способ.

Беспорядочные Связи

Когда вы находитесь в офисе и хотите включить в вашей гостиной света, смартфон приложение отправляет запрос в “облако”, которое, в свою очередь, команды вилку для включения. Но когда телефон находится в локальной сети, он пропускает облако и отправляет запросы напрямую. На самом деле, любое устройство в вашей локальной сети может посылать команды на устройство, или запросить информацию, и эта внутренняя связь не шифруется никак.

Опираясь на эту беспорядочные связи, команда нашла способ выполнить произвольный код на устройстве. Он работает, используя так называемое переполнение буфера. Изображение переменной, скажем, 10 байт, а затем в память на 1000 байт исполняемого кода. Нападение сваливает 1,010 байт “сведения” в переменную, переписывая часть кода с его собственного использования. Он работает только потому, что некоторые забыли, чтобы убедиться, чтобы урезать любые данные для этой переменной до 10 байт, но это происходит много.

В данном случае, Балан предложил злоумышленник мог оставить лазейку в вашей сети. Это позволит обеспечить неограниченный доступ к вашим устройствам, документы, и почти все в сети.

Это работает только если злоумышленник уже проник в вашу сеть в некотором роде. Однако, Балан отметил, что есть много способов сделать это. “Люди и производители до сих пор не понимают, что они должны относиться к локальной сети как враждебные, как если бы она была в интернете”, – сказал Балан. “Это довольно часто, что мы находим способы нарушения периметра домашней сети”.

Оборудование Шуток

Это одна вещь для хакеров, чтобы получить доступ к сети, но совсем другое, чтобы кто-то в вашем доме, имеющий физический доступ к вашему устройству. Если это произойдет, то все ставки выключены. Есть много способов вторжение может разрушить вашу безопасность, в том числе взломе своего Белкин вилки.

Нападение возможно потому, что устройство содержит последовательное соединение. Туз Bitdefender для устройства взломщики нашли способ добраться через подключение и сброс пароля root на устройстве, что дает им полный контроль.

Мы попросили Балан если злоумышленник сможет взломать устройство где-то в цепочке поставок, прежде чем вы получите его. Он ответил, что действительно это возможно. “Но если я хотел сделать это,” он продолжал, “я мог бы сделать это с такой длинный список устройств, включая Android телефонов и ноутбуков. Но я признаю, что это гораздо круче и безопаснее с IoT, так как некоторые люди на самом деле не использовать решения по безопасности для IoT дома”.

Мы пошли на спросить, есть ли такое оборудование только уязвимость даже имеет значение, поскольку нарушителя, который имеет физический доступ к вашему устройству, может сделать гораздо больше. “В идеальном мире не должно быть никакой способ взломать устройство, физический доступ или нет”, – ответил Балан. “Например, [хакер] не могли ничего узнать о Bitdefender на поле. Если кто-то может, они бы дар управляю коробчатых блоков к цели”. Он продолжал говорить, что думал об уязвимостях оборудования в этом случае может быть “опасный уклон”.

Это обязательно были высокого уровня, описание только то, что в PC команда нашли. Проверьте сообщение в блоге и Bitdefender, где команда выкладывает эти выводы. Если у вас есть технические отбивные, чтобы обработать всю информацию, покопаться в документации и Bitdefender на эту тему.

Исправление В

С Bitdefender практики ответственного раскрытия уязвимостей, т. е. уведомить компанию и дать ему 90 дней, чтобы исправить проблему, прежде чем раскрытие. Они сообщили Белкин их результаты в середине июня, и Белкин вытолкали исправить прошивку на 1 августа, задолго до окончания 90-дневного срока.

В эти дни, просто о каких-либо устройство может быть интернет-курсе, от холодильников, которые говорят вам, когда у вас мало молока для гаражных ворот, которые предупредит вас, если они оставлены открытыми. Многие из этих устройств, как видео-звонки и умная дверь гаража, стремимся защитить вашу безопасность в некотором роде. Но слишком многие из них не пекут безопасности в своем коде, или случайно оставите дыр в безопасности. В PCMag продолжит поставлять в PC команда с рекомендациями для устройств, чтобы положить через мясорубку, выявления проблем безопасности и получить их фиксированные.

Понравилась статья? Поделиться с друзьями:
Гуру ПК
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: