تقوم IOACTION بالإبلاغ عن نقاط ضعف متعددة في مجموعة متنوعة من أجهزة أتمتة المنازل في Belkin. حتى الآن ، كانت Belkin صامتة بشأن هذه المسألة ، لكن CERT نشرت الآن قائمة استشارية خاصة بها.
هل هذا رد فعل مفرط على واحد من بين مليون إمكانية أن يتمكن شخص ما من اختراق أضواءك؟ أم أنها مجرد نهاية رقيقة للإسفين وكذلك الوقت لأتمتة المنازل وكذلك شبكة من الأشياء التجارية للجلوس وكذلك الحصول على أصلية بشأن الأمان؟ تحقق من مقطع الفيديو الخاص بـ Last Nights Twit Security Now Podcast لكلا جانبي الخلاف ، ثم دعونا نفهم ما تؤمن به في التعليقات أدناه …
سياتل ، الولايات المتحدة الأمريكية – 18 فبراير 2014 – كشفت شركة Ioactive ، الشركة الرائدة في جميع أنحاء العالم لخدمات أمن معلومات الخبراء ، اليوم أنها كشفت عن العديد من نقاط الضعف في أدوات Belkin Wemo House Automation التي قد تؤثر على أكثر من نصف مليون مستخدم. يستخدم Belkin’s WEMO Wi-Fi وكذلك الويب المحمول لإدارة Electronics في أي مكان في العالم مباشرة من الهاتف الذكي للمستخدمين.
اكتشف مايك ديفيس ، عالم دراسة البحث الأساسي في IOACTION ، العديد من نقاط الضعف في مجموعة منتجات WEMO التي توفر للمهاجمين القدرة على:
إدارة عن بُعد أتمتة Wemo House Automation الأدوات المتصلة عبر الإنترنت
إجراء تحديثات البرامج الثابتة الضارة
عرض الأدوات عن بعد (في بعض الحالات)
الوصول إلى شبكة البيت الداخلي
قال ديفيس: “بينما نربط منازلنا بالإنترنت ، من المهم تدريجياً للبائعين الأدوات عبر الإنترنت لضمان احتضان منهجيات أمنية معقولة في وقت مبكر من دورات تقدم المنتج. هذا يخفف من تعرض عملائهم وكذلك يقلل من المخاطر. مصدر قلق آخر هو أن أدوات WEMO تستخدم أجهزة استشعار الحركة ، والتي يمكن استخدامها من قبل المهاجم لفحص شغل عن بُعد داخل المنزل. ”
التأثير
تخضع نقاط الضعف التي تم اكتشافها في أدوات Belkin Wemo للأفراد إلى عدد من التهديدات المحتملة باهظة الثمن ، من حرائق المنازل مع عواقب مأساوية محتملة وصولاً إلى المتنوع البسيط للكهرباء. والسبب في ذلك هو أنه بعد تعرض المهاجمين للخطر لأجهزة WEMO ، يمكن استخدامها لتشغيل الأدوات المتصلة عن بُعد وكذلك في أي نوع من الوقت. شريطة استخدام عدد أدوات WEMO المستخدمة ، فمن المحتمل جدًا أن تكون العديد من الأجهزة المتصلة وكذلك الأدوات غير مراقبة ، وبالتالي زيادة التهديد الذي تشكله هذه النقاط الضعيفة.
بالإضافة إلى ذلك ، عندما يكون المهاجم قد وضع اتصالًا بأداة WEMO داخل شبكة الضحايا ؛ يمكن استخدام الأداة كموطئ قدم للاعتداء على الأدوات الأخرى مثل أجهزة الكمبيوتر المحمولة والهواتف المحمولة وكذلك تخزين بيانات الشبكة المتصلة.
نقاط الضعف
يتم توقيع صور Belkin Wemo Firmware التي يتم استخدامها لتحديث الأدوات مع تشفير المفتاح العام للحماية من التعديلات غير المصرح بها. ومع ذلك ، يتم تسريب مفتاح التوقيع وكذلك كلمة المرور على البرامج الثابتة التي تم تثبيتها بالفعل على الأجهزة. يمكّن ذلك المهاجمين من استخدام مفتاح التوقيع نفسه تمامًا وكذلك كلمة المرور للإشارة إلى البرامج الثابتة الخاصة بهم بالإضافة إلى اختبارات الأمان الالتفافية أثناء عملية تحديث البرامج الثابتة.
بالإضافة إلى ذلك ، لا تتحقق أدوات Belkin WeMo من صحة شهادات طبقة المقبس الآمنة (SSL) التي تمنعها من التحقق من صحة الاتصالات السحابية لـ BEBELKIN بما في ذلك خلاصة RSS تحديث البرامج الثابتة. يمكّن ذلك المهاجمين من الاستفادة من أي نوع من شهادة SSL من انتحال شخصية خدمات Belkin السحابية بالإضافة إلى دفع تحديثات البرامج الثابتة الخبيثة بالإضافة إلى بيانات الاعتماد في نفس الوقت بالضبط. بسبب التكامل السحابي ، يتم دفع تحديث البرامج الثابتة إلى منزل الضحية بغض النظر عن الأداة المقترنة التي تتلقى إشعار التحديث أو موقعه الفعلي.
تعتمد مرافق الاتصالات على شبكة الإنترنت المستخدمة لتوصيل أدوات Belkin Wemo على بروتوكول تم إساءة معاملته تم تصميمه للاستخدام بواسطة خدمات Voice Over Web Protocol (VOIP) لتجاوز جدار الحماية أو NAT. يقوم بذلك بطريقة تضعف جميع أدوات WEMO من خلال إنتاج Wemo Darknet عبر الإنترنت حيث يمكن ربط جميع أدوات WEMO مباشرة ؛ ومع بعض التخمين المقيد لـ “رقم سري” ، تتم إدارته حتى بدون هجوم تحديث البرامج الثابتة.
تم اكتشاف بالمثل على واجهة برمجة تطبيق Belkin Wemo Server (API) أنها عرضة لضعف إدراج XML ، مما سيمكن المهاجمين من تعريض جميع أجهزة WEMO للخطر.
استشارية
يشعر ioactive بقوة كبيرة حول الإفصاح المسؤول وكذلك على هذا النحو الذي عملت بعناية مع CERT على نقاط الضعف التي تم اكتشافها. قامت CERT ، التي ستقوم بنشر استشاريها اليوم ، ببذل عددًا من المحاولات للاتصال Belkin بشأن القضايا ، ومع ذلك ، كان Belkin لا يستجيب.
نظرًا لعدم إنشاء Belkin أي نوع من الإصلاحات للمشاكل التي تمت مناقشتها ، شعرت ioactive أنه من المهم إصدار استشاري وكذلك SuggeSTS قم بفصل جميع الأدوات من منتجات WEMO المتأثرة.
[تحديث] نصحت Belkin الآن بأن “المستخدمين الذين لديهم أحدث إصدار للبرامج الثابتة (الإصدار 3949) ليسوا في خطر هجمات البرامج الثابتة الخبيثة أو الإدارة عن بُعد أو تتبع أدوات WEMO من الأجهزة غير المصرح بها”. قم بتحديث البرنامج الثابت الخاص بك الآن.
Belkin.com: عرضت Wemo من Amazon
تريد المزيد؟ – تابعنا على Twitter ، مثلنا على Facebook ، أو اشترك في موجز RSS الخاص بنا. يمكنك حتى الحصول على هذه القصص الإخبارية عبر البريد الإلكتروني ، مباشرة إلى صندوق الوارد الخاص بك كل يوم.
شارك هذا:
فيسبوك
تويتر
رديت
LinkedIn
Pinterest
البريد الإلكتروني
أكثر
ال WhatsApp
مطبعة
سكايب
نعرفكم
برقية
جيب