Home & Living

Ioactive rapporte plusieurs vulnérabilités dans les modules d’automatisation des maisons Belkin Wemo [mis à jour]

on Leave a Comment on Ioactive rapporte plusieurs vulnérabilités dans les modules d’automatisation des maisons Belkin Wemo [mis à jour]

Ioactive rapporte plusieurs vulnérabilités dans la variété WEMO de Belkin de dispositifs d’automatisation de la maison. Jusqu’à présent, Belkin est resté silencieux, mais CERT a maintenant publié son propre conseil en énumérant les défauts de sécurité.

Est-ce une réaction excessive pour une possibilité sur un million de personnes pour que quelqu’un puisse pirater vos lumières? Ou est-ce juste l’extrémité mince du coin ainsi que le temps pour l’automatisation de la maison ainsi que pour les affaires de la toile de choses à s’asseoir et à devenir authentiques sur la sécurité? Découvrez la vidéo de Last Nights Twit Security Now Podcast pour les deux côtés du désaccord puis laissez-nous comprendre ce que vous croyez aux commentaires ci-dessous…

SEATTLE, États-Unis – 18 février 2014 – Ioactive, Inc., le premier fournisseur mondial de services d’experts en matière de sécurité d’information, a révélé aujourd’hui qu’il avait découvert plusieurs vulnérabilités dans les gadgets d’automatisation de Belkin Wemo qui pourraient avoir un impact sur plus d’un demi-million d’utilisateurs. Le WEMO de Belkin utilise le Wi-Fi ainsi que le Web mobile pour gérer l’électronique de maison partout dans le monde directement à partir du smartphone des utilisateurs.

Mike Davis, scientifique de l’étude de recherche d’Ioactive, a découvert plusieurs vulnérabilités dans l’ensemble de produits WEMO qui offre aux attaquants la capacité de:

Gérer à distance les gadgets connectés à l’automatisation Wemo sur Internet

Effectuer des mises à jour malveillantes du micrologiciel

Écranz à distance les gadgets (dans certains cas)

Accéder à un réseau intérieur

Davis a déclaré: «Alors que nous lions nos maisons à Internet, il est progressivement important pour les fournisseurs de gadgets de l’Internet-of-Things de s’assurer que les méthodologies de sécurité raisonnables sont adoptées au début des cycles d’avancement des produits. Cela atténue l’exposition de leurs clients et réduit les risques. Une autre préoccupation est que les gadgets Wemo utilisent des capteurs de mouvement, qui peuvent être utilisés par un attaquant pour dépister à distance l’occupation à la maison. »

L’impact

Les vulnérabilités découvertes dans les gadgets de Belkin Wemo soumettent aux individus à un certain nombre de menaces potentiellement coûteuses, des incendies de maison avec des conséquences tragiques possibles jusqu’au simple gaspillage de l’électricité. La raison en est qu’après que les attaquants compromettent les appareils WEMO, ils peuvent être utilisés pour activer à distance les gadgets connectés ainsi que pour tout type de temps. À condition que le nombre de gadgets WEMO soit utilisés, il est extrêmement probable que de nombreux appareils connectés ainsi que des gadgets seront sans surveillance, augmentant ainsi la menace posée par ces vulnérabilités.

De plus, lorsqu’un attaquant a établi une connexion à un gadget WEMO au sein d’un réseau de victimes; Le gadget peut être utilisé sous forme de pied pour attaquer d’autres gadgets tels que les ordinateurs portables, les téléphones mobiles, ainsi que le stockage de données réseau connecté.

Les vulnérabilités

Les images du micrologiciel Belkin Wemo qui sont utilisées pour mettre à jour les gadgets sont signées avec le cryptage de clé publique pour protéger contre les modifications non autorisées. Cependant, la clé de signature ainsi que le mot de passe sont divulguées sur le micrologiciel déjà installé sur les appareils. Cela permet aux attaquants d’utiliser exactement la même clé de signature ainsi que le mot de passe pour indiquer leur propre firmware malveillant ainsi que le contournement des contrôles de sécurité pendant le processus de mise à jour du micrologiciel.

De plus, les gadgets Belkin Wemo ne valident pas les certificats de couche de socket sécurisés (SSL) les empêchant de valider les communications avec le service cloud de Belkin, y compris le flux RSS de mise à jour du micrologiciel. Cela permet aux attaquants d’utiliser tout type de certificat SSL pour usurper l’identité des services cloud de Belkin ainsi que de pousser les mises à jour malveillantes du firmware ainsi que de capturer les informations d’identification en même temps. En raison de l’intégration du cloud, la mise à jour du firmware est poussée à la maison de la victime, quel que soit le gadget apparié qui reçoit la notification de mise à jour ou son emplacement physique.

Les installations de communication Web utilisées pour communiquer les gadgets de Belkin Wemo sont basés sur un protocole maltraité conçu pour utiliser des services de protocole Web (VOIP) pour contourner le pare-feu ou les restrictions NAT. Il le fait dans une méthode qui compromet toute la sécurité des gadgets WEMO en produisant un wemo darknet en ligne où tous les gadgets WEMO peuvent être liés directement; Et, avec une supposition restreinte d’un «numéro secret», géré même sans l’attaque de mise à jour du firmware.

L’interface de programmation d’application Belkin WeMo Server (API) a également été découverte comme vulnérable à une vulnérabilité d’inclusion XML, ce qui permettrait aux attaquants de compromettre tous les appareils WEMO.

Consultatif

Ioactive se sent extrêmement fortement de la divulgation responsable ainsi que de telles fonctionnalités avec soin avec CERT sur les vulnérabilités découvertes. CERT, qui publiera ses propres conseils aujourd’hui, a fait un certain nombre de tentatives de contacter Belkin au sujet des problèmes, cependant, Belkin n’a pas répondu.

En raison de la création de Belkin ne créant aucun type de correctifs pour les problèmes discutés, Ioactive a jugé important de publier un avis et de SuggeSTS débranchant tous les gadgets des produits WEMO touchés.

[MISE À JOUR] Belkin a maintenant informé que «les utilisateurs avec la version du firmware la plus récente (version 3949) ne sont pas en danger pour les attaques de micrologiciel malveillant ou la gestion à distance ou le suivi des gadgets WEMO à partir d’appareils non autorisés». Mettez à jour votre firmware maintenant.

belkin.com: wemo offert d’Amazon

Vouloir plus? – Suivez-nous sur Twitter, comme nous sur Facebook, ou inscrivez-vous à notre flux RSS. Vous pouvez même faire livrer ces nouvelles par e-mail, directement dans votre boîte de réception chaque jour.

Partagez ceci:
Facebook
Twitter
Reddit
Liendin
Pinterest
E-mail
Suite

Whatsapp
Imprimer

Skype
Tumblr

Télégramme
Poche