IoActive estão relatando várias vulnerabilidades nos dispositivos de automação de casas Wemo de Belkin. Até agora, Belkin ficou em silêncio sobre o assunto, mas o CERT agora publica sua própria consultoria listando as falhas de segurança.

Isso é uma reação excessiva a um em um milhão de possibilidades de alguém ser capaz de invadir suas luzes? Ou é apenas a extremidade fina da cunha, bem como o tempo para a automação da casa, bem como os negócios da Web of Things se sentarem e se tornarem genuínos sobre segurança? Confira o vídeo do podcast de Segurança do Twit no Nights Twit para os dois lados da discordância, então vamos entender o que você acredita nos comentários abaixo…

Seattle, EUA – 18 de fevereiro de 2014 – Ioactive, Inc., o principal fornecedor mundial de serviços de segurança de informações especializadas, revelou hoje que descobriu várias vulnerabilidades nos gadgets de automação da Belkin Wemo House que podem impactar mais de meio milhão de usuários. O Wemo de Belkin utiliza Wi-Fi e a Web móvel para gerenciar eletrônicos de casa em qualquer lugar do mundo diretamente do smartphone dos usuários.

Mike Davis, cientista do estudo de pesquisa principal da IoActive, descobriu várias vulnerabilidades no conjunto de produtos da WEMO que fornece aos atacantes a capacidade de:

Gerenciar remotamente os gadgets conectados da Wemo House Automation

Realize atualizações de firmware maliciosas

Rastreie remotamente os gadgets (em alguns casos)

Acesse uma rede de interiores

Davis disse: “Ao vincularmos nossas casas à Internet, é progressivamente importante para os fornecedores de gadgets da Internet das coisas para garantir que as metodologias de segurança razoáveis ​​sejam adotadas no início dos ciclos de avanço do produto. Isso atenua a exposição de seus clientes e reduz o risco. Outra preocupação é que os gadgets Wemo utilizem sensores de movimento, que podem ser utilizados por um invasor para rastrear remotamente a ocupação dentro de casa. ”

O impacto

As vulnerabilidades descobertas nos gadgets de Belkin Wemo sujeitam indivíduos a várias ameaças potencialmente caras, desde incêndios domésticos com possíveis consequências trágicas até o simples desperdício de eletricidade. A razão para isso é que, depois que os atacantes comprometem os dispositivos WEMO, eles podem ser utilizados para ativar remotamente os gadgets conectados e também em qualquer tipo de tempo. Desde que o número de gadgets Wemo em uso, é extremamente provável que muitos dos aparelhos conectados e os gadgets não sejam atendidos, aumentando, portanto, a ameaça representada por essas vulnerabilidades.

Além disso, quando um invasor estabeleceu uma conexão com um gadget wemo dentro da rede de vítimas; O gadget pode ser utilizado como uma posição para assaltar outros gadgets, como laptops, telefones celulares e armazenamento de dados de rede conectado.

As vulnerabilidades

As imagens de firmware Belkin Wemo utilizadas para atualizar os gadgets são assinadas com a criptografia de chave pública para proteger contra modificações não autorizadas. No entanto, a chave de assinatura e a senha são vazadas no firmware que já está instalado nos dispositivos. Isso permite que os invasores utilizem exatamente a mesma chave de assinatura, bem como a senha para indicar seu próprio firmware malicioso, além de desviar as verificações de segurança durante o processo de atualização de firmware.

Além disso, os gadgets Belkin Wemo não validam certificados de camada de soquete seguros (SSL), impedindo -os de validar as comunicações com o serviço em nuvem da Belkin, incluindo o feed RSS da atualização de firmware. Isso permite que os invasores utilizem qualquer tipo de certificado SSL para representar os serviços em nuvem da Belkin, além de pressionar as atualizações de firmware maliciosas e capturar credenciais exatamente ao mesmo tempo. Devido à integração da nuvem, a atualização do firmware é empurrada para a casa da vítima, independentemente da qual o gadget emparelhado recebe a notificação de atualização ou sua localização física.

As instalações de comunicação da Web utilizadas para comunicar os gadgets Belkin Wemo baseiam -se em um protocolo abusado que foi projetado para utilizar os serviços de protocolo de voz sobre o Voice Over Web (VoIP) para ignorar o firewall ou as restrições de NAT. Isso faz isso em um método que compromete toda a segurança de gadgets Wemo, produzindo uma Wemo Darknet on -line, onde todos os gadgets Wemo podem ser vinculados diretamente; E, com algumas adivinhações restritas de um “número secreto”, gerenciado mesmo sem o ataque de atualização de firmware.

A interface de programação de aplicativos do Belkin Wemo Server (API) também foi descoberta como vulnerável a uma vulnerabilidade de inclusão XML, o que permitiria aos invasores comprometer todos os dispositivos WEMO.

Consultivo

A IoActive se sente extremamente fortemente com a divulgação responsável, bem como como tal, trabalhou cuidadosamente com o CERT nas vulnerabilidades que foram descobertas. A CERT, que publicará hoje seu próprio aviso, fez várias tentativas de entrar em contato com Belkin sobre os problemas, no entanto, Belkin não respondeu.

Devido a Belkin não criar nenhum tipo de correção para os problemas discutidos, Ioactive sentiu importante lançar um consultivo e sugerindoSTS desconectando todos os gadgets dos produtos Wemo impactados.

[Update] Belkin agora aconselhou que “os usuários com a liberação mais recente de firmware (versão 3949) não estão em perigo para ataques maliciosos de firmware ou gerenciamento remoto ou rastreamento de gadgets wemo de dispositivos não autorizados”. Atualize seu firmware agora.

belkin.com: Wemo oferecido da Amazon

Quer mais? – Siga -nos no Twitter, como nós no Facebook ou inscreva -se no nosso feed RSS. Você pode até receber essas notícias por e -mail, diretamente para sua caixa de entrada todos os dias.

Compartilhar isso:
Facebook
Twitter
Reddit
LinkedIn
Pinterest
E-mail
Mais

Whatsapp
Imprimir

Skype
Tumblr

Telegrama
Bolso