비디오: Chucky Banton - Love is (십월 2024)
홈 오토메이션은 정말 멋지다. 커피 포트를 켠 상태로 두거나 차고 문을 닫는 것을 잊었을 염려가 없습니다. 어디에 있든 집을 확인하고 문제를 해결할 수 있습니다. 그러나 사이버 사기꾼이 시스템을 제어 할 수 있다면 어떨까요? IOActive의 연구원들은 인기있는 홈 오토메이션 시스템에서 결함 모음을 발견했습니다.이 결함은 범죄자가 쉽게 인계 할 수있는 결함입니다.
Belkin의 WeMo Home Automation 시스템은 Wi-Fi 및 모바일 인터넷을 사용하여 거의 모든 가전 제품을 제어합니다. IOActive 팀이 발견 한 취약점으로 인해 침입자는 연결된 모든 장치를 원격으로 제어하고, 고유 한 (악의적 인) 버전으로 펌웨어를 업데이트하고, 일부 장치를 원격으로 모니터링하며, 홈 네트워크에 대한 전체 액세스 권한을 얻을 수 있습니다.
문제의 가능성
광범위한 WeMo 장치를 사용할 수 있습니다. WeMo 인식 LED 전구, 원격 제어 및 사용 모니터링을 모두 제공하는 전등 스위치 및 원격 제어 콘센트를 사용할 수 있습니다. 베이비 모니터, 모션 센서, 작품에는 원격 제어 슬로우 쿠커도 있습니다. 그들은 모두 WiFi를 통해 연결되며 합법적 인 사용자와 만 연결 해야 합니다.
연구원들은 WeMo 네트워크에 액세스 할 수있는 도둑이 모든 것을 켤 수있어 전기 낭비에서 회로가 끊어 지거나 화재가 발생할 수 있다고 지적했습니다. WeMo 시스템이 일단 만들어지면 영리한 해커가 해당 연결을 홈 네트워크에 대한 전체 액세스 권한으로 묶을 수 있습니다. 반대로, 베이비 모니터와 모션 센서 기능은 집에 사람이 있는지 여부를 알려줍니다. 빈 집은 실제 강도에 대한 멍청한 대상입니다.
오류의 코미디
시스템에서 발견 된 취약점은 거의 웃을 수 있습니다. 펌웨어는 디지털 서명 된 true이지만 서명 키와 암호는 장치에서 바로 찾을 수 있습니다. 공격자는 동일한 키를 사용하여 악의적 인 버전에 서명함으로써 보안 검사를 트리거하지 않고 펌웨어를 교체 할 수 있습니다.
디바이스는 Belkin 클라우드 서비스 연결에 사용 된 SSL (Secure Socket Layer) 인증서의 유효성을 검증하지 않습니다. 이는 사이버 범죄자가 임의의 SSL 인증서를 사용하여 Belkin 모선을 사칭 할 수 있음을 의미합니다. 또한 연구원들은 장치 간 통신 프로토콜의 취약점을 발견하여 공격자가 펌웨어를 교체하지 않아도 제어권을 얻을 수 있습니다. 그리고 (놀랍게도) 그들은 Belkin API에서 공격자에게 모든 권한을 부여하는 취약점을 발견했습니다.
무엇을해야합니까?
IOActive가 왜이 위험한 계시를 공개하게됩니까? 왜 벨킨에 가지 않았습니까? 결과적으로 그들은 그렇게했습니다. 그들은 아무런 반응을 얻지 못했습니다.
약 50 만 명의 WeMo 사용자 중 하나 인 경우 IOActive는 모든 장치를 즉시 연결 해제하는 것이 좋습니다. 약간 과감 해 보일 수 있지만 보안 결함의 심각성, 악용 가능성 및 Belkin의 관심 부족으로 볼 수 있습니다. 자세한 기술 정보는 IOActive의 온라인 조언을 확인하십시오. Belkin이 패치를 완료 할 때까지 다른 홈 자동화 시스템을 사용해보십시오.
