Могут ли хакеры взломать ваш дом? сжечь тост?

Домашняя автоматизация это так круто. Вам не нужно беспокоиться о том, что вы могли оставить кофейник включенным или забыли закрыть дверь гаража; Вы можете проверить дом и устранить любые проблемы, где бы вы ни находились. Но что если кибер-мошеннику удастся получить контроль над системой? Исследователи из IOActive обнаружили в популярной системе домашней автоматизации ряд недостатков, которые преступник мог легко использовать, чтобы захватить власть.

Система домашней автоматизации Belkin WeMo использует Wi-Fi и мобильный Интернет для управления практически любой бытовой электроникой. Уязвимости, обнаруженные командой IOActive, позволили злоумышленнику удаленно контролировать любые подключенные устройства, обновлять микропрограмму своей (вредоносной) версией, удаленно контролировать некоторые устройства и, возможно, получить полный доступ к домашней сети.

Потенциал для неприятностей

Доступен широкий спектр устройств WeMo. Вы можете приобрести светодиодные лампы с поддержкой WeMo, выключатели света, обеспечивающие дистанционное управление и мониторинг использования, а также розетки для дистанционного управления. Радионяни, датчики движения, в работе даже есть мультиварка с дистанционным управлением. Все они подключаются через WiFi, и все они должны подключаться только с законными пользователями.

Исследователи отметили, что мошенник с доступом к вашей сети WeMo может включить все, что приведет к потере электричества, к перегорелой цепи и, возможно, к пожару. Как только система WeMo отключена, умный хакер может преобразовать это соединение в полный доступ к домашней сети. С другой стороны, функции радионяни и датчика движения покажут, есть ли кто-нибудь дома. Незанятый дом - прекрасная цель для кражи со взломом.

Комедия ошибок

Уязвимости, обнаруженные в системе, почти смехотворны. Прошивка имеет цифровую подпись, правда, но ключ подписи и пароль можно найти прямо в устройстве. Злоумышленники могут заменить прошивку, не вызывая проверки безопасности, просто используя тот же ключ, чтобы подписать свою вредоносную версию.

Устройства не проверяют сертификаты Secure Socket Layer (SSL), используемые при подключении к облачной службе Belkin. Это означает, что кибер-преступник может использовать любой произвольный SSL-сертификат для олицетворения материнского корабля Белкина. Исследователи также обнаружили уязвимости в протоколе связи между устройствами, так что злоумышленник может получить контроль даже без замены прошивки. И (удивительно!) Они обнаружили уязвимость в API Belkin, которая дала бы злоумышленнику полный контроль.

Что делать?

Вы можете спросить, почему IOActive делает эти опасные разоблачения публичными? Почему они не пошли в Белкин? Оказывается, они сделали. Они просто не получили никакого ответа.

Если вы один из полумиллиона пользователей WeMo, IOActive рекомендует немедленно отключить все ваши устройства. Это может показаться немного резким, но, учитывая серьезность недостатков безопасности, возможности эксплуатации и очевидное отсутствие интереса со стороны Белкина, я могу это видеть. Для получения полной технической информации, проверьте рекомендации IOActive онлайн. Пока Belkin не исправит ситуацию, вы можете попробовать другую систему домашней автоматизации.