半百万百万贝尔金WEMO用户对攻击者敞开

Ioactive已在Belkin Wemo Home自动化设备中未覆盖多种漏洞,可能会影响超过一百万个用户。贝尔金’S WEMO使用Wi-Fi和移动互联网直接从用户中的任何地方控制家用电子产品’ smartphone.

Mike Davis,Ioactive’S首席研究科学家,在WEMO产品集中发现了多种漏洞,使攻击者能够提供:

  • 远程控制WEMO Home Automation通过Internet附加设备
  • 执行恶意固件更新
  • 远程监控设备(在某些情况下)
  • 访问内部家庭网络。

戴维斯说,“当我们将家庭连接到互联网时,对互联网设备供应商越来越重要,以确保产品开发周期早期采用合理的安全方法。这会减轻他们的客户’S曝光并降低风险。另一个问题是,WEMO设备使用运动传感器,该运动传感器可以被攻击者使用,以便远程监控家庭的占用。”

影响

Belkin WEMO设备中发现的漏洞将用户暴露于几个潜在的昂贵威胁,从家庭火灾,可能的悲惨后果降至简单的电力。这样做的原因是,在攻击者妥协后,它们可用于随时远程转动连接设备。鉴于使用中的WEMO设备的数量,很可能是许多附加的设备和设备都会无人看管,从而增加了这些漏洞所带来的威胁。

此外,一旦攻击者建立了与受害者网络中的WEMO设备的连接;该设备可用作立足点以攻击其他设备,例如笔记本电脑,移动电话和连接网络文件存储。

漏洞

用于更新设备的Belkin Wemo固件图像与公钥加密签名以防止未经授权的修改。但是,签名密钥和密码泄漏在设备上已安装的固件上。这允许攻击者在固件更新过程中使用相同的签名密钥和密码来签署自己的恶意固件并绕过安全检查。

此外,Belkin WEMO设备未验证安全套接字层(SSL)证书,防止它们验证与BELKIN的通信’S云服务包括固件更新RSS Feed。这允许攻击者使用任何SSL证书来冒充Belkin’S Cloud Services并在同一时间推送恶意固件更新和捕获凭据。由于云集成,固件更新被推到受害者’由于哪种配对设备收到更新通知或其物理位置的情况无论是什么。

用于传达Belkin WEMO设备的互联网通信基础设施基于滥用协议,该协议被设计用于互联网协议(VoIP)服务的语音来绕过防火墙或NAT限制。它以一种方式来实现这一点,它通过创建虚拟WEMO Darknet来损害所有WEMO设备的安全性,其中所有WEMO设备可以直接连接;而且,有一些有限的猜测“secret number’,即使没有固件更新攻击也是控制的。

Belkin Wemo Server应用程序编程接口(API)也被发现容易受到XML包含漏洞的攻击,这将允许攻击者危及所有WEMO设备。

Ioactive与Cert关于发现的漏洞密切合作。 CERT多次尝试联系Belkin关于这些问题,然而,Belkin没有响应。

更新:2014年2月19日星期三

Belkin与以下声明联系我们:

Belkin已纠正了影响2月18日在CERT咨询中发表的WEMO系列自动化解决方案的五个潜在漏洞的清单.Belkin在出版咨询之前与安全研究人员联系,截至2月18日,已通过应用内通知和更新为每个未发出的潜在漏洞发出修复。具有最新固件版本(版本3949)的用户不适用于恶意固件攻击或远程控制或从未授权设备的WEMO设备监控。 Belkin敦促这些用户从App Store(版本1.4.1)或Google Play Store(版本1.2.1)下载最新应用程序,然后通过应用程序升级固件版本。

特定修复Belkin已发出包括:

1. 2013年11月5日的WEMO API服务器更新,可防止XML注入攻击从获取对其他WEMO设备的访问。

2.在2014年1月24日发布的WEMO固件的更新,它将SSL加密和验证为WEMO固件分配源添加,消除了设备上的签名键,密码保护串行端口接口以防止恶意固件攻击

3.对IOS的WEMO应用程序(2014年1月24日发布)和Android(2014年2月10日发布),其中包含最近的固件更新

分享这个