האם האקרים יכולים לחטוף את הבית שלך? לשרוף את הטוסט שלך?

אוטומציה ביתית כל כך מגניבה. אתה לא צריך לדאוג שאולי השארת את ספל הקפה דולק, או ששכחת לסגור את דלת המוסך; אתה יכול לבדוק את הבית ולתקן כל בעיה, לא משנה היכן אתה נמצא. אבל מה אם נוכל סייבר הצליח להשיג שליטה במערכת? חוקרים ב- IOActive מצאו אוסף ליקויים במערכת אוטומציה ביתית פופולרית, פגמים בהם עבריין יכול להשתמש בהם בקלות כדי להשתלט עליו.

מערכת WeMo אוטומציה ביתית של בלקין משתמשת ב- Wi-Fi ובאינטרנט נייד כדי לשלוט כמעט בכל סוג של אלקטרוניקה ביתית. הפגיעויות שהצוות של IOActive מצא יאפשרו לתוקף לשלוט מרחוק על כל המכשירים המחוברים, לעדכן את הקושחה בגירסה (זדונית) משלהם, לפקח מרחוק על מכשירים מסוימים, ואולי לקבל גישה מלאה לרשת הביתית.

פוטנציאל לבעיות

קיים מגוון עצום של מכשירי WeMo. אתה יכול להשיג נורות LED מודעות ל- WeMo, מתגי תאורה המציעים גם שליטה מרחוק וגם פיקוח על שימוש, ושקעים לשליטה מרחוק. צגי תינוקות, חיישני תנועה, יש אפילו סיר איטי בשלט רחוק בעבודות. כולם מתחברים דרך WiFi, וכולם צריכים להתחבר רק למשתמשים לגיטימיים.

החוקרים ציינו כי נוכל עם גישה לרשת WeMo שלך יכול להפעיל את הכל, וכתוצאה מכך כל דבר מבזבוז חשמל למעגל מטוגן, ואולי גם שריפה. ברגע שמערכת WeMo תושבת, האקר חכם יכול להפיץ את החיבור לגישה מלאה לרשת הביתית. בצד ההפוך, מוניטור התצוגה וחיישן התנועה יחשפו אם יש מישהו בבית. בית לא מאוכלס הוא מטרה גנדרנית לאיזו פריצה בעולם האמיתי.

קומדיה של טעויות

הפגיעויות שנמצאו במערכת כמעט צוחקות. הקושחה חתומה דיגיטלית, נכונה, אך ניתן למצוא את מפתח החתימה והסיסמה ממש במכשיר. התוקפים יכולים להחליף את הקושחה מבלי להפעיל בדיקות אבטחה פשוט על ידי שימוש באותו מפתח כדי לחתום על הגרסה הזדונית שלהם.

המכשירים אינם מאמתים את אישורי Secure Socket Layer (SSL) המשמשים בחיבור לשירות הענן של בלקין. פירוש הדבר כי נוכל סייבר יכול להשתמש בכל תעודת SSL אקראית כדי להתחזות לספינת האמהות של בלקין. החוקרים מצאו פגיעויות בפרוטוקול התקשורת בין מכשירים, כך שתוקף יכול להשיג שליטה גם מבלי להחליף את הקושחה. ו (הפתעה!) הם גילו פגיעות בממשק ה- API של בלקין שתעניק לתוקף שליטה מלאה.

מה לעשות?

אתה יכול לשאול, מדוע IOActive מפרסמת את הגילויים המסוכנים האלה? מדוע הם לא הלכו לבלקין? מסתבר שהם עשו זאת. הם פשוט לא קיבלו שום תגובה.

אם אתה מבין מחצית מיליון המשתמשים ב- WeMo, IOActive ממליץ לך לנתק את כל המכשירים שלך מייד. זה אולי נראה קצת דרסטי, אבל בהתחשב בחומרת הפגמים הביטחוניים, פוטנציאל הניצול וחוסר העניין לכאורה של בלקין, אני יכול לראות את זה. לפרטים טכניים מלאים, עיינו באינטרנט במייעוץ של IOActive. עד שבלקין יתקן את הדברים, אולי תשקול לנסות מערכת אוטומציה ביתית אחרת.