Відео: unboxing turtles slime surprise toys learn colors (Листопад 2024)
Домашня автоматизація така класна. Вам не потрібно турбуватися про те, що ви, можливо, залишили кавову шафу включеною або забули закрити двері гаража; ви можете перевірити будинок і виправити будь-які проблеми, де б ви не знаходилися. Але що робити, якщо кібер-шахраю вдалося отримати контроль над системою? Дослідники IOActive виявили сукупність недоліків у популярній системі домашньої автоматизації, недоліки, які злочинець міг би легко використати, щоб взяти на себе владу.
Система домашньої автоматизації Belkin від Belkin використовує Wi-Fi та мобільний Інтернет для управління практично будь-якою побутовою електронікою. Вразливості, виявлені колективом IOActive, дозволять зловмиснику дистанційно керувати будь-якими приєднаними пристроями, оновлювати мікропрограмне забезпечення за допомогою власної (шкідливої) версії, віддалено контролювати деякі пристрої та, можливо, отримувати повний доступ до домашньої мережі.
Потенціал для проблем
Доступний широкий набір пристроїв WeMo. Ви можете отримати світлодіодні лампочки, свідомі WeMo, вимикачі світла, які пропонують як пульт управління, так і моніторинг використання, а також розетки дистанційного керування. Дитячі монітори, датчики руху, у роботі навіть повільна плита з дистанційним керуванням. Всі вони підключаються через WiFi, і всі вони повинні з'єднуватися лише з законними користувачами.
Дослідники відзначили, що шахрай із доступом до вашої мережі WeMo може ввімкнути все, що призведе до втрати електроенергії до смаженого контуру та, можливо, до пожежі. Після того, як система WeMo розповсюджена, розумний хакер може передати це з'єднання на повний доступ до домашньої мережі. З іншого боку, функції дитячого монітора та датчика руху дозволять виявити, чи є хтось вдома. Неокупований будинок - денська мішень для реальних вкрадень.
Комедія помилок
Уразливості, які були виявлені в системі, майже не підлягають сміху. Прошивка цифрово підписана, правда, але ключ підпису та пароль можна знайти прямо в пристрої. Зловмисники можуть замінити прошивку, не запускаючи перевірки безпеки, просто використовуючи той самий ключ для підписання своєї шкідливої версії.
Пристрої не підтверджують сертифікати рівня захищеного сокета (SSL), які використовуються для з'єднання з хмарною службою Belkin. Це означає, що кібер-шахрай може використовувати будь-який випадковий сертифікат SSL, щоб представити себе материнство Белкіна. Дослідники також виявили вразливості протоколу зв'язку між пристроями, так що зловмисник міг отримати контроль навіть без заміни прошивки. І (здивування!) Вони виявили вразливість в API Belkin, яка б надавала зловмиснику повний контроль.
Що робити?
Ви можете запитати, чому IOActive оприлюднює ці небезпечні викриття? Чому вони не поїхали до Белькіна? Як виявляється, вони так і зробили. Вони просто не отримали жодної відповіді.
Якщо ви один із оцінених на півмільйона користувачів WeMo, IOActive радить негайно відключити всі свої пристрої. Це може здатися дещо різким, але, враховуючи суворість недоліків у безпеці, потенціал експлуатації та очевидну відсутність інтересу з боку Белкіна, я це бачу. Щоб отримати повні технічні деталі, ознайомтеся з рекомендаціями IOActive в Інтернеті. Поки Белкін не виправить щось, ви можете спробувати іншу систему домашньої автоматизації.