Исследователи в IOactive дают предупреждение довольно многократных уязвимостей в устройствах, каковые имели возможность разрешить атакующему руководить связанным домом.Потому, что число подключенных к Интернету устройств, включая тех в доме, возрастает, существует возрастающее беспокойство об угрозах безопасности. Компания безопасности IOActive продемонстрировал 18 февраля, что это нашло многократные уязвимости в WeMo Belkin, подключила домашние устройства.Устройства WeMo – каковые включают подключенное к Интернету выключатели и питание, каковые разрешают пользователям руководить своим включенным – в устройствах по Интернету через iOS и приложения для Android – уязвимы для многократных рисков, каковые имели возможность разрешить атакующему руководить устройством пользователя, добавить злонамеренные микропрограммные обновления либо кроме того получить доступ к домашней сети пользователя, в соответствии с IOActive.
IOActive сперва связался с американской Компьютерной командой экстренного реагирования (CERT) 23 октября, и CERT связался с Belkin 24 октября, сообщил Майк Дэвис, главный исследователь IOACTIVE.«Мы можем подтвердить, что Belkin получил данные уязвимости, потому, что член команды Belkin связался со мной через LinkedIn; мы обсудили уязвимости, но они не проконтролировали его», сообщил Дэвис eWEEK.
Belkin был неспособен дать комментарий eWEEK пресс-таймом о проблемах безопасности IOActive.IOActive сказал, что устройства WeMo имели возможность возможно быть заражены злонамеренными обновлениями.
В соответствии с изучению IOACTIVE, обновления встроенного микропрограммного обеспечения WeMo защищаются с шифрованием с открытым ключом для защиты от несанкционированных модификаций. Проблема заключается в том, что ключ подписи дешёв на самом устройстве.Обновления WeMo происходят через сообщение с Belkin – что сделан небезопасными запросами Совокупности доменных имен (DNS), каковые легко угнаны, сообщил Дэвис.«Это не было бы проблемой если бы не отсутствие SSL [Уровень защищенных сокетов] подпись, контролирующая сообщение обновления микропрограммы», сообщил Дэвис. «Так в данной точке, в случае если встроенное микропрограммное обеспечение верно подписывается, устройство не имеет никакого метода знать, что это взяло злонамеренное обновление».
Существуют многократные методы, которыми устройство может проверить, дабы видеть, допустим ли сертификат SSL практически. То, что нужно, Дэвис сообщил, есть несложной проверкой, что сертификат не был самоподписан, и что сертификат был подписан допустимым центром сертификации.
WeMo Belkin применяет протокол для передачи с устройствами методом, что не особенно надёжен, сообщил Дэвис. Утилиты Обхода сессии для Преобразования сетевых адресов (ОШЕЛОМЛЯЮТ), и связанный Обход Применяя Реле около Преобразования сетевых адресов (ПОВОРОТ) неправильно употребляются.
«Они неправильно применяют подпроект проекта открытого исходного кода Звездочки, что снабжает ОШЕЛОМИТЬ/РАЗВЕРНУТЬ полномочную ссылочную реализацию», сообщил Дэвис. «Текущая конфигурация, которую Belkin делает, по существу применение, ОШЕЛОМЛЯЕТ/ПОВОРАЧИВАЕТ для виртуальной VPN устройства Belkin, ни при каких обстоятельствах не рассматривался в модели обеспечения безопасности доверенностей».РискиТогда как существуют риски в модели обеспечения безопасности WeMo, Дэвис заявил, что у него имеется нулевое подтверждение, которое кто-то взламывает на большом растоянии в сети Belkin.
«Это было легко забавным проектом, что я переделал, когда Amazon внес предложение мне выключатель для продажи», сообщил Дэвис. «Но в случае если я был совсем честен тут, я удивлен, что никто больше не сказал об данной проблеме, тогда как мы забрали ледниковый темп в выпуске этого благодаря безразличности от поставщика».С позиций понижения угрозы нет весьма пользователя WeMo, может сделать для ограничения риска. Одна возможность пребывает в том, дабы поместить устройства WeMo на их собственную подсеть, ограничив свойство устройств WeMo взаимодействовать с другой частью домашней сети. Но в случае если беспокойство – то, что атакующий может руководить удаленным выключателем питания пользователя, что есть все еще проблемой, сообщил Дэвис.
«Прямо на данный момент мы говорим, что нет никакой надёжной конфигурации с микропрограммой устройств, как это», сообщил Дэвис. «И без ясного учета того, как эти неприятности были решены, мы будем рекомендовать что они быть разъединенными от сети».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.