今天,我(可能)偶然发现了我的家庭自动化设置中的重大安全漏洞。它可以做到。实际上,我只是按照前几个步骤下载并启动了habridge。令我惊讶的是,我的Logitech Harmony Hub似乎可以与新桥自由共享他的所有信息。我没有输入任何凭证。我提供的唯一信息是Harmony的IP地址和虚假的设备名称(即,我的集线器实际上具有用于Logitech和Alexa的所有其他显示名称)。



集线器仅共享有关所有已配置设备的信息,它还允许自由触发这些活动。我对其进行了测试,它们工作出色。



我既查看了台式机程序,也查看了移动应用程序。似乎都没有提供任何方式来激活任何安全选项。在此处可以看到的活动(减去裁剪的ID)是由Harmony App触发的。当Hub脱机时,还会有一个心跳立即告诉我的桥接器。



问题

还有什么方法可以保护Hub的安全将其打包并发送回不安全的设备来自何处?

评论

这不是bug报告的地方:)还是实际上,我们应该包括巨大的安全漏洞以及如何将它们用作主题吗?
@SeanHoulihane我不想利用它,我想尽可能地保护它。

尽管这绝对是物联网和热门话题,但不要忘了安全性问题有时可能会在security.stackexchange.com上得到更好的答复-决定在哪里发布是一个艰巨的决定

@Helmar:您是否曾经从Logitech收到对此的答复?

@ Aurora0001到目前为止,这仍在进行中。

#1 楼

您可以设置本地防火墙,但是最好的选择是将其放在专用于IoT设备的单独的安全WiFi网络上(如果您不信任网络上的其他设备)。

这是安全的到外面的世界只是本地不安全。

评论


您能否详细说明这种分区如何改善这种情况?我想您可以将vLAN限制为单个MAC地址,这可能会阻止恶意设备连接。

– Sean Houlihane
17年7月3日在11:42

@SeanHoulihane(对不起,您的答复很晚)很多人(客人,家人等)访问您的WiFi。僵尸程序非常容易侵入这些设备,获取您的WiFi密码,然后进入您的WiFi。 WiFi网络的密码是您最大的安全性,因此分开WiFi网络可防止他人获取您的密码。

– Nate D
17年7月17日在15:18

我的意思是,您应该编辑答案,这样才能更清楚地知道您所针对的是什么,以及您建议的措施如何改善这种情况。具体来说,如何解决该问题中描述的漏洞。

– Sean Houlihane
17年7月17日在15:21