วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
ระบบอัตโนมัติในบ้านนั้นยอดเยี่ยมมาก คุณไม่ต้องกังวลว่าคุณอาจเปิดเครื่องเก็บกาแฟทิ้งไว้หรือลืมปิดประตูโรงรถ คุณสามารถตรวจสอบบ้านและแก้ไขปัญหาใด ๆ ไม่ว่าคุณจะอยู่ที่ไหน แต่ถ้าโจรในโลกไซเบอร์จัดการเพื่อควบคุมระบบ? นักวิจัยที่ IOActive ค้นพบชุดของข้อบกพร่องในระบบอัตโนมัติภายในบ้านยอดนิยมข้อบกพร่องที่อาชญากรสามารถนำไปใช้อย่างง่ายดาย
ระบบ WeMo Home Automation ของ Belkin ใช้ Wi-Fi และอินเทอร์เน็ตบนมือถือเพื่อควบคุมอุปกรณ์ไฟฟ้าภายในบ้านทุกชนิด ช่องโหว่ที่ทีมของ IOActive ค้นพบจะช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่เชื่อมต่อได้จากระยะไกลอัพเดตเฟิร์มแวร์ด้วยเวอร์ชั่นของตัวเอง (เป็นอันตราย) ตรวจสอบอุปกรณ์บางเครื่องจากระยะไกล
ศักยภาพสำหรับปัญหา
มีอุปกรณ์ WeMo มากมายให้เลือกใช้ คุณสามารถรับหลอดไฟ LED WeMo ที่รับรู้สวิตช์ไฟที่ให้ทั้งการควบคุมระยะไกลและการตรวจสอบการใช้งานและช่องควบคุมระยะไกล จอภาพเด็กเซ็นเซอร์ตรวจจับการเคลื่อนไหวมีหม้อหุงช้าแม้กระทั่งการควบคุมระยะไกลในงาน พวกเขาทั้งหมดเชื่อมต่อผ่าน WiFi และพวกเขาทั้งหมด ควร เชื่อมต่อกับผู้ใช้ที่ถูกกฎหมาย
นักวิจัยชี้ให้เห็นว่าข้อพับที่สามารถเข้าถึงเครือข่าย WeMo ของคุณสามารถเปิดใช้งานได้ทุกอย่างทำให้เกิดไฟฟ้าขยะไปจนถึงวงจรทอดและอาจเกิดเพลิงไหม้ เมื่อระบบ WeMo ถูก pwned แฮ็กเกอร์ที่ฉลาดสามารถแยกการเชื่อมต่อนั้นเข้าสู่เครือข่ายภายในบ้านได้อย่างสมบูรณ์ ในทางกลับกันคุณสมบัติตรวจสอบทารกและเซ็นเซอร์ตรวจจับความเคลื่อนไหวจะแสดงให้เห็นว่ามีใครอยู่บ้านหรือไม่ บ้านที่ว่างอยู่นั้นเป็นเป้าหมายสำหรับคนขโมยของในโลกแห่งความเป็นจริง
ตลกของข้อผิดพลาด
ช่องโหว่ที่พบในระบบเกือบจะหัวเราะได้ เฟิร์มแวร์นั้นถูกเซ็นชื่อด้วยระบบดิจิตอลจริง แต่สามารถพบกุญแจเซ็นและรหัสผ่านได้ในอุปกรณ์ ผู้โจมตีสามารถแทนที่เฟิร์มแวร์ได้โดยไม่ต้องเรียกใช้การตรวจสอบความปลอดภัยเพียงแค่ใช้รหัสเดียวกันเพื่อลงชื่อรุ่นที่เป็นอันตราย
อุปกรณ์ไม่ได้ตรวจสอบใบรับรอง Secure Socket Layer (SSL) ที่ใช้ในการเชื่อมต่อกับบริการคลาวด์ Belkin นั่นหมายถึงอาชญากรไซเบอร์สามารถใช้ใบรับรอง SSL แบบสุ่มเพื่อเลียนแบบการเป็นมารดาของ Belkin นักวิจัยยังพบช่องโหว่ในโปรโตคอลการสื่อสารระหว่างอุปกรณ์เช่นผู้โจมตีสามารถควบคุมได้โดยไม่ต้องเปลี่ยนเฟิร์มแวร์ และ (ประหลาดใจ!) พวกเขาพบช่องโหว่ใน Belkin API ที่จะทำให้ผู้โจมตีสามารถควบคุมได้อย่างเต็มที่
จะทำอย่างไร?
คุณอาจถามว่าเหตุใด IOActive จึงเปิดเผยการเปิดเผยที่เป็นอันตรายเหล่านี้ ทำไมพวกเขาไม่ไป Belkin? เมื่อปรากฎว่าพวกเขาทำ พวกเขาไม่ได้รับคำตอบใด ๆ เลย
หากคุณเป็นหนึ่งในผู้ใช้ WeMo ครึ่งล้านโดยประมาณ IOActive ขอแนะนำให้คุณยกเลิกการเชื่อมต่ออุปกรณ์ทั้งหมดของคุณทันที นั่นอาจดูรุนแรงเล็กน้อย แต่ด้วยความรุนแรงของข้อบกพร่องด้านความปลอดภัยโอกาสในการถูกเอารัดเอาเปรียบและการขาดความสนใจอย่างชัดเจนจาก Belkin ฉันสามารถมองเห็นได้ สำหรับรายละเอียดทางเทคนิคทั้งหมดให้ตรวจสอบคำแนะนำของ IOActive ทางออนไลน์ คุณอาจลองใช้ระบบอัตโนมัติภายในบ้านที่แตกต่างออกไป