Video: Bukan Hacker Biasa | Narasi People (Oktober 2024)
Otomatisasi rumah sangat keren. Anda tidak perlu khawatir bahwa Anda mungkin telah membiarkan kopi dihidupkan, atau lupa menutup pintu garasi; Anda dapat memeriksa rumah dan memperbaiki masalah, di mana pun Anda berada. Tetapi bagaimana jika seorang penjahat cyber berhasil mengendalikan sistem? Para peneliti di IOActive menemukan kumpulan kelemahan dalam sistem otomasi rumah yang populer, kelemahan yang bisa dengan mudah digunakan penjahat untuk mengambil alih.
Sistem Otomasi Rumah WeMo Belkin menggunakan Wi-Fi dan Internet seluler untuk mengendalikan hampir semua jenis elektronik rumah. Kerentanan yang ditemukan oleh tim IOActive akan memungkinkan penyerang mengontrol perangkat apa pun yang terpasang dari jarak jauh, memperbarui firmware dengan versi mereka sendiri (jahat), memantau beberapa perangkat dari jarak jauh, dan mungkin mendapatkan akses penuh ke jaringan rumah.
Potensi untuk Kesulitan
Sejumlah besar perangkat WeMo tersedia. Anda bisa mendapatkan bohlam LED yang menyadari WeMo, sakelar lampu yang menawarkan kendali jarak jauh dan pemantauan penggunaan, dan outlet kendali jarak jauh. Monitor bayi, sensor gerak, bahkan ada slow cooker remote-control dalam karya. Mereka semua terhubung melalui WiFi, dan mereka semua seharusnya hanya terhubung dengan pengguna yang sah.
Para peneliti menunjukkan bahwa penjahat dengan akses ke jaringan WeMo Anda dapat mengaktifkan semuanya, menghasilkan apa saja dari pemborosan listrik ke sirkuit goreng dan, berpotensi, kebakaran. Setelah sistem WeMo dipasangi, peretas yang cerdik dapat membagi koneksi itu menjadi akses penuh ke jaringan rumah. Di sisi lain, monitor bayi dan fitur sensor gerak akan mengungkapkan apakah ada orang di rumah. Rumah kosong adalah target yang bagus untuk beberapa perampokan dunia nyata.
Komedi Kesalahan
Kerentanan yang ditemukan dalam sistem hampir menggelikan. Firmware sudah ditandatangani secara digital, benar, tetapi kunci masuk dan kata sandi dapat ditemukan tepat di perangkat. Penyerang dapat mengganti firmware tanpa memicu pemeriksaan keamanan hanya dengan menggunakan kunci yang sama untuk menandatangani versi jahat mereka.
Perangkat tidak memvalidasi sertifikat Secure Socket Layer (SSL) yang digunakan dalam menghubungkan dengan layanan cloud Belkin. Itu berarti seorang penjahat dunia maya dapat menggunakan sertifikat SSL acak apa pun untuk menyamar sebagai induk Belkin. Para peneliti juga menemukan kerentanan dalam protokol komunikasi antar-perangkat, sehingga penyerang bisa mendapatkan kendali bahkan tanpa mengganti firmware. Dan (kejutan!) Mereka menemukan kerentanan di API Belkin yang akan memberikan penyerang kontrol penuh.
Apa yang harus dilakukan?
Anda mungkin bertanya, mengapa IOActive mengumumkan wahyu berbahaya ini ke publik? Mengapa mereka tidak pergi ke Belkin? Ternyata, mereka melakukannya. Mereka hanya tidak mendapat jawaban.
Jika Anda salah satu dari setengah juta pengguna WeMo, IOActive menyarankan Anda untuk segera memutuskan semua perangkat Anda. Itu mungkin tampak agak drastis, tetapi mengingat kerasnya kelemahan keamanan, potensi eksploitasi, dan kurangnya minat dari Belkin, saya bisa melihatnya. Untuk detail teknis lengkap, lihat penasihat online IOActive secara online. Sampai Belkin memperbaiki keadaan, Anda mungkin mempertimbangkan untuk mencoba sistem otomasi rumah yang berbeda.
