Ioactive informa múltiples vulnerabilidades en la variedad de dispositivos de automatización de casas de Belkin. Hasta ahora, Belkin ha estado en silencio sobre el asunto, pero CERT ahora ha publicado su propio asesoramiento en la lista de fallas de seguridad.
¿Es esta una reacción excesiva para una posibilidad de uno en un millón de que alguien pueda hackear tus luces? ¿O es solo el extremo delgado de la cuña, así como el tiempo para que la automatización de la casa, así como los negocios de la Web of Things se sienten y sean genuinos con la seguridad? Mira el video del podcast de Twit Security Now Now para ambos lados del desacuerdo y luego comprendemos lo que crees en los comentarios a continuación …
SEATTLE, EE. UU. – 18 de febrero de 2014 – Ioactive, Inc., el proveedor mundial líder de servicios de seguridad de información experta, reveló hoy que ha descubierto varias vulnerabilidades en los dispositivos de automatización de la casa de Belkin Wemo que podrían afectar a más de medio millón de usuarios. WEMO de Belkin utiliza Wi-Fi, así como la web móvil para administrar la electrónica de la casa en cualquier parte del mundo, directamente desde el teléfono inteligente de los usuarios.
Mike Davis, científico principal del estudio de investigación de Ioactive, descubrió varias vulnerabilidades en el conjunto de productos WEMO que proporciona a los atacantes la capacidad de:
Administre de forma remota a los dispositivos conectados a la automatización de Wemo House a través de Internet
Realizar actualizaciones de firmware maliciosas
Detectar de forma remota los gadgets (en algunos casos)
Acceder a una red de casa interior
Davis dijo: “A medida que vinculamos nuestras casas a Internet, es progresivamente importante que los proveedores de dispositivos de Internet de las cosas garanticen que las metodologías de seguridad razonables sean adoptadas temprano en los ciclos de avance del producto. Esto mitiga la exposición de sus clientes y reduce el riesgo. Otra preocupación es que los gadgets de Wemo utilizan sensores de movimiento, que un atacante puede utilizar para detectar una ocupación de forma remota dentro del hogar “.
El impacto
Las vulnerabilidades descubiertas dentro de los dispositivos Belkin Wemo sujetan a las personas hasta una serie de amenazas potencialmente costosas, desde incendios domésticos con posibles consecuencias trágicas hasta el simple desperdicio de electricidad. La razón de esto es que, después de que los atacantes pongan en peligro los dispositivos WEMO, se pueden utilizar para activar de forma remota los dispositivos conectados y apagados en cualquier tipo de tiempo. Siempre que el número de dispositivos WEMO en uso, es extremadamente probable que muchos de los electrodomésticos conectados y los dispositivos estén desatendidos, lo que aumenta la amenaza que representa estas vulnerabilidades.
Además, cuando un atacante ha establecido una conexión con un dispositivo de Wemo dentro de una red de víctimas; El gadget se puede utilizar como un punto de apoyo para asaltar otros dispositivos, como computadoras portátiles, teléfonos móviles, así como almacenamiento de datos de red conectados.
Las vulnerabilidades
Las imágenes de firmware de Belkin Wemo que se utilizan para actualizar los gadgets están firmadas con cifrado de clave pública para proteger contra modificaciones no autorizadas. Sin embargo, la clave de firma y la contraseña se filtran en el firmware que ya está instalado en los dispositivos. Esto permite a los atacantes utilizar exactamente la misma clave de firma, así como una contraseña para indicar su propio firmware malicioso, así como las verificaciones de seguridad de omitir durante el proceso de actualización del firmware.
Además, los gadgets de Belkin Wemo no validan los certificados de capa de enchufe segura (SSL) que les impiden validar las comunicaciones con el servicio en la nube de Belkin, incluido el Feed RSS de actualización de firmware. Esto permite a los atacantes utilizar cualquier tipo de certificado SSL para hacerse pasar por los servicios en la nube de Belkin, así como presionar las actualizaciones de firmware maliciosas, así como las credenciales de captura al mismo tiempo. Debido a la integración de la nube, la actualización del firmware se lleva a la casa de la víctima, independientemente de qué dispositivo emparejado recibe la notificación de actualización o su ubicación física.
Las instalaciones de comunicación web utilizadas para comunicar los gadgets de Belkin Wemo se basan en un protocolo abusado que fue diseñado para utilizar los servicios de Protocolo de Voice Over Web (VOIP) para evitar restricciones de firewall o NAT. Hace esto en un método que compromete a toda la seguridad de Wemo Gadgets al producir un Wemo Darknet en línea donde todos los gadgets de Wemo se pueden vincular directamente; y, con algunas adivinanzas restringidas de un “número secreto”, administrado incluso sin el ataque de actualización de firmware.
La interfaz de programación de aplicaciones del servidor Belkin Wemo (API) también se descubrió que era vulnerable a una vulnerabilidad de inclusión XML, lo que permitiría a los atacantes poner en peligro todos los dispositivos WEMO.
Consultivo
Ioactive se siente extremadamente fuertemente sobre la divulgación responsable, así como tal, como tal, trabajó cuidadosamente con CERT en las vulnerabilidades que se descubrieron. Cert, que publicará su propio aviso hoy, hizo una serie de intentos de contactar a Belkin sobre los problemas, sin embargo, Belkin no respondió.
Debido a que Belkin no crea ningún tipo de soluciones para los problemas discutidos, Ioactive sintió que era importante lanzar un asesoramiento y sugerirSTS desconectando todos los dispositivos de los productos Wemo impactados.
[Actualización] Belkin ahora ha informado que “los usuarios con la versión de firmware más reciente (versión 3949) no están en peligro para ataques de firmware maliciosos o gestión remota o seguimiento de dispositivos WEMO de dispositivos no autorizados”. Actualice su firmware ahora.
Belkin.com: Wemo ofrecido desde Amazon
¿Quieren más? – Síganos en Twitter, como nosotros en Facebook, o regístrese para nuestra feed RSS. Incluso puede entregar estas noticias por correo electrónico, directamente a su bandeja de entrada todos los días.
Compartir este:
Facebook
Gorjeo
Reddit
LinkedIn
Pinterest
Correo electrónico
Más
Whatsapp
Impresión
Skype
Tumblr
Telegrama
Bolsillo