هل يمكن للمتسللين خطف منزلك؟ حرق نخب الخاص بك؟

أتمتة المنزل هو بارد جدا. لا داعي للقلق من أنك قد تركت القهوة قيد التشغيل ، أو نسيت إغلاق باب المرآب ؛ يمكنك التحقق من المنزل وإصلاح أي مشاكل ، بغض النظر عن مكان وجودك. ولكن ماذا لو تمكن المحتال الإلكتروني من التحكم في النظام؟ وجد الباحثون في IOActive مجموعة من العيوب في نظام التشغيل الآلي للمنزل الشهير ، وهي عيوب يمكن للمجرم استخدامها بسهولة لتوليها.

يستخدم نظام WeMo Home Automation من Belkin شبكة Wi-Fi والإنترنت عبر الهاتف المحمول للتحكم في أي نوع من الأجهزة الإلكترونية المنزلية. تسمح الثغرات التي وجدها فريق IOActive للمهاجم بالتحكم عن بُعد في أي أجهزة متصلة ، وتحديث البرنامج الثابت بإصداره (الضار) ، ومراقبة بعض الأجهزة عن بُعد ، وربما الحصول على حق الوصول الكامل إلى الشبكة المنزلية.

المحتملة للمتاعب

تتوفر مجموعة واسعة من أجهزة WeMo. يمكنك الحصول على مصابيح LED التي تدرك WeMo ، ومفاتيح الإضاءة التي توفر كلاً من جهاز التحكم عن بُعد ومراقبة الاستخدام ، ومنافذ التحكم عن بُعد. أجهزة مراقبة الأطفال ، أجهزة استشعار الحركة ، هناك حتى طباخ بطيء للتحكم عن بعد في الأعمال. جميعهم يتصلون عبر WiFi ، وعليهم جميعًا الاتصال فقط مع المستخدمين الشرعيين.

أشار الباحثون إلى أن المحتال الذي يمكنه الوصول إلى شبكة WeMo الخاصة بك يمكنه تشغيل كل شيء ، مما ينتج عنه أي شيء من هدر الكهرباء إلى دائرة مقلية ، وربما حريق. بمجرد وضع نظام WeMo في وضع صعب ، يمكن للمتطفل الذكي أن يعرقل هذا الاتصال للوصول الكامل إلى الشبكة المنزلية. على الجانب الآخر ، ستكشف شاشة مراقبة الطفل وميزات مستشعر الحركة عما إذا كان هناك أحد في المنزل. منزل غير مأهول هو هدف مدهش لبعض عمليات السطو في العالم الحقيقي.

كوميديا ​​الأخطاء

نقاط الضعف التي تم العثور عليها في النظام تكاد تكون مضحكة. تم توقيع البرنامج الثابت رقميًا وصحيح ، ولكن يمكن العثور على مفتاح التوقيع وكلمة المرور مباشرة في الجهاز. يمكن للمهاجمين استبدال البرامج الثابتة دون تشغيل اختبارات الأمان ببساطة باستخدام نفس المفتاح للتوقيع على نسختهم الضارة.

لا تقوم الأجهزة بالتحقق من صحة شهادات Secure Socket Layer (SSL) المستخدمة في الاتصال بخدمة سحابة Belkin. وهذا يعني أن المحتال الإلكتروني يمكنه استخدام أي شهادة SSL عشوائية لانتحال شخصية أم Belkin. عثر الباحثون أيضًا على ثغرات في بروتوكول الاتصال بين الأجهزة ، بحيث يمكن للمهاجم التحكم حتى دون استبدال البرنامج الثابت. و (مفاجأة!) وجدوا ثغرة أمنية في Belkin API من شأنها أن تمنح المهاجم تحكمًا كاملاً.

ماذا أفعل؟

قد تسأل ، لماذا تجعل IOActive هذه الكشفات الخطيرة علنية؟ لماذا لم يذهبون إلى بلكين؟ كما اتضح ، فعلوا. انهم فقط لم تحصل على أي رد.

إذا كنت أحد مستخدمي WeMo المقدر عددهم بحوالي نصف مليون مستخدم ، فإن IOActive تنصحكم بفصل جميع أجهزتك على الفور. قد يبدو هذا جذريًا بعض الشيء ، لكن بالنظر إلى شدة العيوب الأمنية وإمكانية الاستغلال والافتقار الواضح إلى الاهتمام من Belkin ، يمكنني أن أرى ذلك. للحصول على التفاصيل الفنية الكاملة ، تحقق من IOActive الاستشارية عبر الإنترنت. حتى تصنع Belkin الأمور ، قد تفكر في تجربة نظام أتمتة منزلي مختلف.