Ведущие шикарные дома концентраторов уязвимы, фирма безопасности находит

концентраторов

В анализе фирма безопасности Растяжка нашла, что три популярных концентратора имеют много уязвимостей, которые могли позволить вред атакующего.Анализ трех популярных умно-домашних концентраторов показал многочисленные уязвимости в продуктах, которые могли использоваться атакующими для получения контроля над концентраторами через злонамеренные веб-сайты или приложения, по данным фирмы безопасности Растяжка.Растяжка протестировала умно-домашние устройства управления, произведенные SmartThings, Верой Контрол и Подмигиванием, найдя критические дефекты, которые могли позволить атакующим подслушивать коммуникации устройств или, в некоторых случаях, брать под свой контроль концентратор. Компания начала исследовать устройства в ноябре 2014 и быстро нашла проблемы безопасности, такие как способность ввести команды в Концентратор Подмигивания, который мог предоставить корневой доступ атакующего.

«Без большой трудности вообще, мы нашли уязвимости во всех этих продуктах», сказал Крэйг Янг, исследователь в области безопасности на Исследовательской группе Уязвимости и Воздействия Растяжки (VERT), eWEEK.На прошлой неделе компания отправила видео, которое объяснило проблемы потребителям.

В июне Растяжка представила большую часть исследования на конференции по вопросам европейской безопасности и планах выпустить больше подробных данных проблем в ближайшие недели, заявил докладчик Растяжки.Растяжка нашла, что Концентратор Подмигивания мог поставиться под угрозу через многие инжекционные SQL уязвимости, и как только атакующий взял на себя управление, они могли дать команды к другим интеллектуальным устройствам дома, получить доступ к беспроводной сети или загрузить черный ход. Подмигивание сразу реагировало на отчеты о проблемах безопасности и уже выпустило обновление, по словам Янга.Концентратор, произведенный Верой Контрол, имеет проблемы подделки запроса перекрестного сайта (CSRF), которые могли позволить атакующему давать команды к концентратору, если бы пользователь в той же сети просмотрел управляемый атакующими веб-контент.

Поскольку Вера Контрол не устранила проблемы, Растяжка не предоставляет подробную информацию их, но рекомендовала, чтобы пользователи включили опцию «Secure Vera».Концентратор SmartThings имел самую незначительную проблему безопасности, сказал Янг. Единственная уязвимость могла позволить подслушивать при определенных обстоятельствах, сказал он.Представитель SmartThings подчеркнул, что любой концентратор с уязвимостью должен теперь быть исправлен. «Патч был фактически обязательным обновлением, которое было выпущено автоматически ко всем активным концентраторам, и любой неактивный концентратор, который не был обновлен, не может соединиться с обслуживанием SmartThings и автоматически перенаправляется к серверу обновления», заявил докладчик в электронном письме.

Поскольку умные концентраторы используют встроенные аппаратные средства, у них обычно есть меньше встроенной безопасности, чем Ваша типичная компьютерная система. «Одной из проблем, которые мы имеем в отрасли с недорогими встроенными устройствами [является] любая ошибка, может быть большая ошибка», сказал Янг. «У Вас нет современных функций защиты современных операционных систем для защиты устройства и пользователей».Кроме того, многие в настоящее время доступные продукты были сделаны новыми проектами, которые не имеют большого количества опыта, производящего безопасные устройства.Растяжка рекомендует, чтобы пользователи сохранили свои устройства актуальными с последними обновлениями микропрограммы и подключили устройства к сети, отдельной от компьютеров, которые регулярно используются для соединения с Интернетом.

«Это не вид технологии, которую Вы хотите просто установить и забыть о», сказал Янг. «Это еще не только для ранних последователей, но и не для основных пользователей».Растяжка уведомила трех поставщиков дефектов безопасности.

Два из подмигивания компаний и SmartThings — выпустили патчи для проблем.Примечание редактора: Эта история была обновлена с ответом от SmartThings.


8 комментариев

  • Thetagrinn

    Это хорошая новость, мы её давно ждали.

  • Евгения Потаповна

    Народ Украины страдает, особенно пенсионеры и милиционэры.

  • Thoghma

    Россия душит киевские власти. А Штаты чпокают Москву. Я это имел в виду, Шиншил. )

  • Aragor

    Ссср

  • Vilkree

    Главная проблема Путина — это то, что при таком авторитарном стиле правления, когда ты стремишься к тотальному контролю инфы, контролю всего и вся, а инакомыслие приравнивается к предательству, в результате вокруг тебя скапливаются исключительно безинициативные лизоблюды, компетенция которых стремится к нулю, потому что не это становится главным, а преданность и лояльность. Чиновника не накажут за то, что он ничего не делает, его накажут за то, что он что-то сделал и ошибся. Это лежит в корне путинской экономики, это в корне проблематично, это загубит и перемелет любую здравую инициативу.

  • Сиялов Агап

    Просто нікому не можна ображати кацапських хозяів — чеченів)))

  • Буклина Наталья

    ______________________

  • Zazan

    Автономия в автономии — йобаная руская матрьошка.

  • Напишите комментарий