Video: 365DABAND - BỐNG BỐNG BANG BANG [OFFICIAL] (TẤM CÁM: CHUYỆN CHƯA KỂ OST) (Tháng Chín 2024)
Tự động hóa nhà là rất mát mẻ. Bạn không phải lo lắng rằng bạn có thể đã bật coffeepot hoặc quên đóng cửa nhà để xe; bạn có thể kiểm tra căn nhà và khắc phục mọi sự cố, bất kể bạn đang ở đâu. Nhưng chuyện gì sẽ xảy ra nếu một kẻ lừa đảo trên mạng tìm cách kiểm soát hệ thống? Các nhà nghiên cứu tại IOActive đã tìm thấy một bộ sưu tập lỗ hổng trong một hệ thống tự động hóa nhà phổ biến, những lỗ hổng mà một tên tội phạm có thể dễ dàng sử dụng để chiếm lấy.
Hệ thống tự động hóa nhà WeMo của Belkin sử dụng Wi-Fi và Internet di động để kiểm soát mọi loại thiết bị điện tử gia dụng. Các lỗ hổng mà nhóm của IOActive tìm thấy sẽ cho phép kẻ tấn công điều khiển từ xa mọi thiết bị đính kèm, cập nhật chương trình cơ sở với phiên bản (độc hại) của riêng chúng, giám sát từ xa một số thiết bị và có thể truy cập đầy đủ vào mạng gia đình.
Tiềm năng cho rắc rối
Một loạt các thiết bị WeMo có sẵn. Bạn có thể nhận được bóng đèn LED nhận biết WeMo, công tắc đèn cung cấp cả điều khiển từ xa và giám sát sử dụng và ổ cắm điều khiển từ xa. Màn hình bé, cảm biến chuyển động, thậm chí còn có một nồi nấu chậm điều khiển từ xa trong công trình. Tất cả đều kết nối qua WiFi và tất cả chỉ nên kết nối với người dùng hợp pháp.
Các nhà nghiên cứu đã chỉ ra rằng một kẻ gian có quyền truy cập vào mạng WeMo của bạn có thể bật mọi thứ, dẫn đến mọi thứ từ lãng phí điện đến mạch điện và có khả năng là hỏa hoạn. Khi hệ thống WeMo được kiểm duyệt, một hacker thông minh có thể truy cập kết nối đó để truy cập đầy đủ vào mạng gia đình. Mặt khác, màn hình bé và các tính năng cảm biến chuyển động sẽ tiết lộ xem có ai ở nhà không. Một ngôi nhà không có người ở là mục tiêu tồi tệ cho một số vụ trộm trong thế giới thực.
Hài kịch của lỗi
Các lỗ hổng được tìm thấy trong hệ thống gần như là đáng cười. Phần sụn được ký kỹ thuật số, đúng, nhưng có thể tìm thấy khóa ký và mật khẩu ngay trong thiết bị. Kẻ tấn công có thể thay thế phần sụn mà không kích hoạt kiểm tra bảo mật chỉ bằng cách sử dụng cùng một khóa để ký phiên bản độc hại của chúng.
Các thiết bị không xác thực chứng chỉ Lớp cổng bảo mật (SSL) được sử dụng để kết nối với dịch vụ đám mây Belkin. Điều đó có nghĩa là một kẻ lừa đảo trên mạng có thể sử dụng bất kỳ chứng chỉ SSL ngẫu nhiên nào để mạo danh quyền làm mẹ của Belkin. Các nhà nghiên cứu cũng tìm thấy các lỗ hổng trong giao thức liên lạc giữa các thiết bị, như vậy kẻ tấn công có thể giành quyền kiểm soát ngay cả khi không thay thế phần sụn. Và (thật bất ngờ!) Họ đã tìm thấy một lỗ hổng trong API Belkin sẽ cung cấp cho kẻ tấn công toàn quyền kiểm soát.
Phải làm gì?
Bạn có thể hỏi, tại sao IOActive lại công khai những tiết lộ nguy hiểm này? Tại sao họ không đến Belkin? Hóa ra, họ đã làm. Họ không nhận được bất kỳ phản hồi nào.
Nếu bạn là một trong số nửa triệu người dùng WeMo ước tính, IOActive khuyên bạn nên ngắt kết nối tất cả các thiết bị của mình ngay lập tức. Điều đó có vẻ hơi quyết liệt, nhưng với mức độ nghiêm trọng của lỗ hổng bảo mật, tiềm năng khai thác và sự thiếu quan tâm rõ ràng từ Belkin, tôi có thể thấy điều đó. Để biết chi tiết kỹ thuật đầy đủ, hãy xem tư vấn trực tuyến của IOActive. Cho đến khi Belkin vá mọi thứ, bạn có thể cân nhắc thử một hệ thống tự động hóa nhà khác.
