在他们成为僵尸网络僵尸之前更新您的Belkin WEMO设备
WEMO Home自动化设备的所有者应将它们升级到上周发布的最新固件版本,以修复可能允许黑客完全妥协它们的关键漏洞。
来自博尔金WEMO交换机的安全公司InvInmea的研究人员发现了该漏洞,允许用户通过使用智能手机远程转动电子设备的智能插头。他们在缸盆中确认了一个启用WEMO的智能慢炖锅中的相同缺陷,他们认为它也可能存在于其他WEMO产品中。
像WEMO交换机这样的WEMO设备可以通过智能手机应用程序来控制,该应用程序通过通过Belkin,Wemo Home自动化平台的创建者运行的云服务通过云服务与互联网通信。
移动应用程序可用于iOS和Android,允许用户根据一天或一周中的日期创建规则以打开或关闭设备。这些规则在应用程序上突出,然后将本地网络推向设备作为SQLite数据库。该设备使用一系列SQL查询解析此数据库并将其加载到其配置中。
Invincea研究人员Scott Tenaglia和Joe Tanen发现了这种配置机制中的SQL注入漏洞,可以允许攻击者在其选择的位置中在设备上编写任意文件。可以通过欺骗设备以解析恶意制作的SQLite数据库来利用该漏洞。
这是琐碎的实现,因为没有用于此过程的身份验证或加密,因此同一网络上的任何人都可以向设备发送恶意SQLite文件。攻击可以从另一个受损的设备推出,如恶意软件感染的计算机或被黑客路由器。
Tenaglia和Tanen利用该漏洞在设备上创建第二个SQLite数据库,该数据库将由命令解释器解释为shell脚本。然后,它们将文件放在特定位置,从restart将自动由设备的网络子系统自动执行。远程强制设备重新启动其网络连接很容易,只需要向其发送未经身份验证的命令。
这两个研究人员在星期五在黑色帽子欧洲安全会议上展示了他们的攻击技术。在演示期间,他们的流氓shell脚本在设备上打开了一个Telnet服务,允许任何人用没有密码连接。
但是,而不是Telnet,脚本可以像Mirai那样容易地下载恶意软件,最近感染了数千个互联网的设备,并使用它们来推出分布式拒绝服务攻击。
WEMO交换机与其他一些嵌入式设备如路由器一样强大,但由于数量大,他们仍然可能是攻击者的有吸引力的目标。根据Belkin的说法,世界上有超过150万个WEMO设备。
攻击此类设备确实需要访问同一网络。但是,攻击者可以通过感染的电子邮件附件或任何其他典型方法传递给Windows恶意软件程序,这将扫描WEMO设备的本地网络并感染它们。一旦这种设备被黑客攻击,攻击者就可以禁用其固件升级机制,使永久性永久性。
两位Imvinnea研究人员还发现了用于控制WEMO设备的移动应用程序中的第二次漏洞。在8月份修补之前,缺陷可能会允许攻击者窃取照片,联系人和用户“手机的文件,以及追踪手机的位置。
涉及为WEMO设备设置特制名称的漏洞利用,当WEMO移动应用程序读取时,将强迫它在手机上执行Rogue JavaScript代码。
安装在Android上时,应用程序有权访问手机的相机,联系人和位置以及存储在其SD卡上的文件。在应用程序本身中执行的任何JavaScript代码都将继承这些权限。
在他们的演示中,研究人员制作了从手机拍摄照片并将其上传到远程服务器的JavaScript代码。它还连续上传到服务器的手机的GPS坐标,从而实现远程位置跟踪。
“Wemo了解旨在在Invincea实验室的团队报告的最近的安全漏洞,并发出了解决方法并纠正他们的修复,”Belkkin在其Wemo社区论坛上公布。“Android应用程序漏洞在8月份版本1.15.2版本中修复,SQL Injection漏洞的固件修复(版本10884和10885)于11月1日播出。”
Tenaglia和Tanen说Belkin对他们的报告非常敏感,并且在安全方面是一个更好的IOT供应商之一。他们说,该公司实际上是一项非常好的工作,锁定硬件侧面的WEMO开关,而且今天的设备比平均IOT产品更安全,他们说。