ビデオ: ãçã»ifæ¦è¨ããã¼ã·ã£ã¤ã³ã¹ã¿æ¦ããã¹æ¦ã (九月 2024)
ホームオートメーションはとてもクールです。 コーヒーポットの電源を入れたままにしたり、ガレージのドアを閉めるのを忘れたりすることを心配する必要はありません。 どこにいても家をチェックして問題を解決できます。 しかし、サイバー詐欺師がシステムを制御できたとしたらどうでしょうか? IOActiveの研究者は、人気のホームオートメーションシステムの欠陥のコレクションを発見しました。これは、犯罪者が簡単に引き継ぐために使用できる欠陥です。
BelkinのWeMoホームオートメーションシステムは、Wi-Fiとモバイルインターネットを使用して、あらゆる種類の家電製品を制御します。 IOActiveのチームが発見した脆弱性により、攻撃者は接続されたデバイスをリモートで制御し、ファームウェアを独自の(悪意のある)バージョンで更新し、一部のデバイスをリモートで監視し、ホームネットワークへのフルアクセスを取得する可能性があります。
トラブルの可能性
WeMoデバイスの膨大な配列が利用可能です。 WeMo対応のLED電球、リモートコントロールと使用状況の両方の監視を提供するライトスイッチ、およびリモートコントロールコンセントを入手できます。 ベビーモニター、モーションセンサー、遠隔操作のスロークッカーもあります。 それらはすべてWiFi経由で接続し、正当なユーザーとのみ接続する 必要があり ます。
研究者たちは、あなたのWeMoネットワークにアクセスできる詐欺師がすべての電源を入れることができ、電気の無駄から揚げた回路、そして潜在的に火事に至るまで何でもすることができると指摘しました。 WeMoシステムが構築されると、巧妙なハッカーはその接続をホームネットワークへのフルアクセスに変換できます。 一方、ベビーモニターとモーションセンサー機能により、誰かが家にいるかどうかがわかります。 空いている家は、実世界の強盗の巧妙な標的です。
エラーのコメディ
このシステムで見つかった脆弱性はほとんど笑えます。 ファームウェアはデジタル署名されていますが、署名キーとパスワードはデバイス内にあります。 攻撃者は、同じキーを使用して悪意のあるバージョンに署名するだけで、セキュリティチェックをトリガーせずにファームウェアを置き換えることができます。
デバイスは、Belkinクラウドサービスとの接続に使用されるSecure Socket Layer(SSL)証明書を検証しません。 つまり、サイバー詐欺師は任意のSSL証明書を使用して、Belkinの母船になりすますことができます。 また、研究者は、デバイス間通信プロトコルに脆弱性があることを発見しました。そのため、攻撃者はファームウェアを交換しなくても制御を取得できます。 そして(驚き!)彼らは、攻撃者に完全な制御を与えるBelkin APIの脆弱性を発見しました。
何をすべきか?
あなたは、なぜIOActiveがこれらの危険な啓示を公開しているのかと尋ねるかもしれません。 なぜ彼らはベルキンに行かなかったのですか? 結局のところ、彼らはそうしました。 彼らは何の反応も得なかった。
推定50万人のWeMoユーザーの1人である場合、IOActiveはすべてのデバイスをすぐに切断することをお勧めします。 それは少し劇的に見えるかもしれませんが、セキュリティの欠陥の深刻さ、悪用の可能性、およびベルキンからの明らかな関心の欠如を考えると、私はそれを見ることができます。 技術的な詳細については、IOActiveのオンラインアドバイザリをご覧ください。 Belkinがパッチを適用するまで、別のホームオートメーションシステムを試すことを検討できます。
