WEMO设备可以破解您的Android手机,因此攻击者可以跟踪您,窃取照片
这只是桃子 - 你的WEMO设备可以攻击你的Android手机。
11月4日,Avencea实验室的安全研究人员Joe Tanen和Scott Tenaglia将向您展示如何从WEMO设备注入贝尔金WEMO设备,然后将代码注入WEMO Android应用程序。他们补充说:“那是对的,我们将向您展示如何让您的IoT破解您的手机。”
自从谷歌剧本说,从100,000到500,000人应该关注,因为Google Play表示,这是Android Wemo应用程序有多少安装。其他人都应该注意到这是第一个,即使是不安全的Myky IoT水域。
“过去,如果有互联网连接的灯光或蠕动电脑的漏洞,人们可能不会担心,但现在我们发现IOT系统中的错误可能会影响他们的智能手机,人们会更加关注,”格拉利亚告诉黑暗阅读。“这是我们发现不安全的物联网设备的第一个案例可用于在手机内运行恶意代码。”
Duo的谈话,“突破边缘:滥用Belkin家庭自动化设备,“将在伦敦的黑色帽子欧洲呈现。他们表示,由于“可用于在设备上获取根外壳的设备和Android应用程序中的多个漏洞,运行与设备配对的任意代码,以及拒绝设备的任意代码在没有扎根的情况下启动DOS攻击。“
第一个缺陷是SQL注射漏洞。攻击者可以远程利用错误并将数据注入与WEMO设备用于记住规则的相同数据库,例如在特定时间关闭CROCKOT或者具有运动检测器仅在日落和日出之间打开灯光。
研究人员警告说,如果攻击者可以使用安装的WEMO应用程序访问Android手机,则可以将命令发送到易受侦听的WEMO设备以执行“使用root权限命令,并且可能会在设备中安装IoT恶意软件,从而成为设备的一部分僵尸网络,如臭名昭着的mirai僵尸网络。“同样根据SecurityWeek,如果攻击者获取对WEMO设备的root访问权限,则攻击者实际上具有“比合法用户更多的权限”。
研究人员表示,只要攻击者不会中断更新过程并停止用户对其设备的访问,就可以使用固件更新删除恶意软件。如果发生这种情况,那么您可能也摘要设备......除非您希望黑客控制您的灯,否则任何电器插入WEMO交换机,Wi-Fi摄像机,婴儿监视器,咖啡机或任何内容其他WEMO产品。Wemo还适用于巢恒温器,亚马逊回声等,包括Wemo Maker,允许人们通过WEMO APP和IFTTT控制洒水器和其他产品(如果这样)。
据报道,Belkin通过昨天推出的固件更新来修复了SQL注入缺陷。该应用程序并没有显示自10月11日以来的更新,但打开应用程序显示新的固件可用。如果你不更新和奇怪的东西开始发生在家,那么你的家可能不会突然困扰......更像是你的Wemo的东西已经被黑了。
至于第二个漏洞,攻击者可以强迫WEMO设备通过WEMO应用程序感染Android智能手机。Belkin于八月修复了Android应用程序漏洞; Belkin发言人指出,在Tenaglia突破Bhad谈论Foruct Forum的安全之后发表的声明。
在应用程序缺陷已修复之前,研究人员表示同一网络上的攻击者可以使用恶意JavaScript更改应用程序中显示的设备的名称;您将不再看到您给出该设备的“友好”名称。
Tenaglia Gave SecurityWeek以下攻击情景:
攻击者用特制名称模拟一个WEMO设备,并跟随受害者到咖啡店。当它们都连接到相同的Wi-Fi时,WEMO应用程序会自动查询WEMO小工具的网络,并且当找到攻击者设置的恶意设备时,将在受害者的智能手机上执行插入名称字段的代码。
同样的攻击,研究人员讲述了福特,这意味着“只要应用程序正在运行(在后台),代码可以用来跟踪Belkin客户的位置和Siphon的所有照片,将数据返回到返回数据属于黑客的远程服务器。“
如果您尚未更新Android应用程序或WEMO设备上的固件,那么您将更好地开始。
