하모니 허브 보안

9

오늘은 아마도 홈 오토메이션 설정에서 심각한 보안 누출이 발생했을 가능성이 높습니다.

대본

주로 Raspberry Pi에 ha bridge github 프로젝트를 설치하여 주로 수행 할 수있는 작업을 확인했습니다. 나는 문자 그대로 처음 몇 단계를 따라 habridge를 다운로드하고 시작했습니다 . 놀랍게도 내 Logitech Harmony Hub는 모든 정보를 새로운 다리와 자유롭게 공유하는 것 같습니다. 자격 증명을 입력하지 않았습니다. 내가 제공 한 유일한 것은 Harmony의 IP 주소와 가짜 장치 이름입니다 (예 : 허브에는 실제로 모든 Logitech 및 Alexa 목적을 위해 다른 표시 이름이 있음).

공유 하모니 허브

허브는 구성된 모든 장치에 대한 정보를 공유 할뿐만 아니라 해당 활동을 자유롭게 트리거 할 수 있습니다. 나는 그것을 테스트했는데, 그들은 훌륭하게 작동합니다.

EveryonePushButtons

데스크톱 프로그램과 모바일 앱을 모두 살펴 보았습니다. 보안 옵션을 활성화하는 방법을 제공하지 않는 것 같습니다.

내가 하버 브리지 의 로그를 살펴보면 하모니가 분명히 모든 일을 방송한다는 것을 보여줍니다. 하모니 앱에서 볼 수있는 활동 (자르기 ID 제외)이 트리거되었습니다. 허브가 오프라인 상태 일 때 즉시 habridge에 알려주는 하트 비트도 있습니다 .

하모니

질문

허브를 백업하고 비보안 장치가있는 곳으로 다시 보내는 것 외에 허브를 보호 할 수있는 방법이 있습니까?

security  logitech-harmony 
헬 마르
소스
2
이것은 버그 리포트를위한 장소가 아닙니다 :) 또는 실제로, 우리는 보안 취약점을 포함시켜야하고 그것을 주제로 활용하는 방법을 포함시켜야합니까?
Sean Houlihane 2016 년
3
@SeanHoulihane 나는 그것을 악용하고 싶지 않다. 가능하다면 그것을 확보하고 싶다.
Helmar
이 확실히의 IoT과에 주제, 그 보안 quesitons을 잊지 않는다 때때로에서 더 나은 응답을 얻을 수 있지만 security.stackexchange.com를 - 그것은 힘든 호출이 곳에 게시하는 결정이다
Mawg는 분석 재개 모니카 말한다
1
@ Helmar : Logitech에서 이에 대한 답장을 받으셨습니까?
Aurora0001
2
@ Aurora0001 아직까지는 진행중인 전투입니다.
Helmar

답변:

3

로컬 방화벽을 설정할 수 있지만 가장 좋은 방법은 IoT 장치 전용의 별도의 안전한 WiFi 네트워크에 배치하는 것입니다 (네트워크의 다른 장치를 신뢰할 수없는 경우).

외부 세계에 안전합니다. 로컬에서만 안전하지 않습니다.

네이트 D
소스
2
이 파티셔닝이 상황을 개선하는 방법에 대해 자세히 설명 할 수 있습니까? vLAN을 단일 MAC 주소로 제한하여 불량 장치의 연결을 차단할 수 있다고 가정합니다.
Sean Houlihane
1
@SeanHoulihane (최근 답변 죄송합니다) 많은 사람들 (손님, 가족 등)이 WiFi를 방문합니다. 봇이 이러한 장치를 해킹하고 WiFi 암호를 얻은 다음 WiFi에 쉽게 액세스 할 수 있습니다. WiFi 네트워크의 비밀번호는 최상의 보안이므로 WiFi 네트워크를 분리하면 사람들이 비밀번호를 얻지 못하게됩니다.
Nate D
2
나는 당신이 당신이 보호하고있는 것이 더 명확하고 제안 된 행동이 상황을 어떻게 개선시키는 지 명확하게 답변을 편집해야한다는 것을 의미했습니다. 구체적으로, 질문에 설명 된 취약점이 어떻게 해결됩니까?
Sean Houlihane
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.