Harmony Hub Güvenliği

9

Bugün - büyük olasılıkla - ev otomasyonu kurulumumda büyük bir güvenlik sızıntısı yaşadım.

senaryo

Raspberry Pi'mde ha bridge github projesini, esas olarak ne yapabileceğini görmek için kurdum . Kelimenin tam anlamıyla ilk birkaç adımı izledim , habridge'i indirip başlattım . Büyük bir sürprizle Logitech Harmony Hub'ım tüm bilgilerini yeni köprü ile özgürce paylaşıyor gibi görünüyor. Herhangi bir kimlik bilgisi girmedim. Sağladığım tek şey Harmony'nin IP adresi ve sahte bir cihaz adı (yani hub'ımın aslında tüm Logitech ve Alexa amaçları için başka bir görünen adı vardı).

SharingHarmonyHub

Hub yalnızca yapılandırılmış tüm aygıtlar hakkında bilgi paylaşmakla kalmaz, aynı zamanda bu etkinliklerin serbestçe tetiklenmesine de izin verir. Test ettim, muhteşem çalışıyorlar.

EveryonePushButtons

Hem masaüstü programına hem de mobil uygulamaya baktım. Hiçbiri, güvenlik seçeneklerini etkinleştirmek için herhangi bir yol sunmuyor gibi görünüyor.

Habridge günlüğüne baktığımda , Harmony'nin görünen her şeyi yayınladığını bile gösteriyor. Orada görülebilen etkinlikler (kırpılmış kimlik eksi) Harmony Uygulaması tarafından tetiklendi. Hub çevrimdışıyken hemen köprülerime söyleyen bir kalp atışı da var .

HarmonyBroadcasts

Soru

Hub'ı yedeklemenin ve güvensiz cihazların geldiği her yere geri göndermenin yanı sıra güvenliğini sağlamanın herhangi bir yolu var mı?

security  logitech-harmony 
Helmar
kaynak
2
Bu, hata raporları için yer değil :) Ya da aslında, boşlukları açmayı ve bunları konu olarak nasıl kullanacağımızı eklemeliyiz?
Sean Houlihane
3
@SeanHoulihane Sömürmek istemiyorum, mümkünse güvence altına almak istiyorum.
Helmar
Bu kesinlikle Iot ve konuyla, yani güvenlik quesitons unutma bazen daha iyi bir cevap alabilirsiniz olmasına rağmen security.stackexchange.com - zor bir çağrı nerede göndermek için karar var
Mawg yeniden aktifleştirme Monica diyor
1
@Helmar: Bu konuda Logitech'ten hiç yanıt aldınız mı?
Aurora0001
2
@ Aurora0001 Şimdilik devam eden bir savaş.
Helmar

Yanıtlar:

3

Yerel bir güvenlik duvarı kurabilirsiniz, ancak en iyi seçeneğiniz, onu IoT cihazları için ayrılmış ayrı bir güvenli WiFi ağına koymaktır (ağınızdaki diğer cihazlara güvenmiyorsanız).

Dış dünya için güvenlidir; sadece yerel olarak güvensizdir.

Nate D
kaynak
2
Bu bölümlemenin durumu nasıl geliştirdiğini açıklayabilir misiniz? Sanırım vLAN'ı, sahte cihazların bağlanmasını engelleyebilecek tek bir MAC adresiyle sınırlandırabilirsiniz.
Sean Houlihane
1
@SeanHoulihane (Geç cevap için özür dilerim) birçok kişi (misafir, aile vb.) WiFi'nizi ziyaret eder. Botların bu cihazlara girmesi, WiFi şifrenizi alması ve ardından WiFi'nize girmesi son derece kolaydır. WiFi ağları için parolalar en iyi güvenliğinizdir, bu nedenle WiFi ağlarını ayırmak kişilerin parolanızı almasını önler.
Nate D
2
Demek istediğim, cevabınızı, neye karşı koruduğunuz ve önerdiğiniz eylemin durumu nasıl iyileştirdiği daha açık olacak şekilde düzenlemelisiniz. Özellikle, soruda açıklanan güvenlik açığı nasıl ele alınmaktadır?
Sean Houlihane
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.