Harmony Hub Bảo mật


9

Hôm nay tôi có khả năng là người tình cờ gặp phải sự cố rò rỉ bảo mật lớn trong thiết lập tự động hóa nhà của tôi.

Kịch bản

Tôi đã cài đặt dự án ha cầu github trên Raspberry Pi của mình, chủ yếu để xem nó có thể làm gì. Tôi thực sự chỉ cần làm theo vài bước đầu tiên, tải xuống và bắt đầu habridge . Thật ngạc nhiên, Logitech Harmony Hub của tôi dường như tự do chia sẻ tất cả thông tin của mình với cây cầu mới. Tôi chưa nhập bất kỳ thông tin nào. Thứ duy nhất tôi cung cấp là địa chỉ IP của Harmony và tên thiết bị không có thật (tức là trung tâm của tôi thực sự có một tên hiển thị khác cho tất cả các mục đích của Logitech và Alexa).

Chia sẻHarmonyHub

Hub không chỉ chia sẻ thông tin về tất cả các thiết bị được cấu hình, nó còn cho phép các hoạt động đó được kích hoạt tự do. Tôi đã thử nó, họ làm việc lộng lẫy.

Mọi ngườiPushButtons

Tôi đã xem xét cả chương trình máy tính để bàn cũng như ứng dụng di động. Dường như không cung cấp bất kỳ cách nào để kích hoạt bất kỳ tùy chọn bảo mật.

Khi tôi nhìn vào nhật ký của habridge, nó thậm chí còn cho thấy rằng Harmony rõ ràng phát sóng mọi thứ xảy ra. Các hoạt động có thể thấy ở đó (trừ ID bị cắt) được kích hoạt bởi Ứng dụng Harmony. Cũng có một nhịp tim cho biết habridge của tôi ngay lập tức khi Hub ngoại tuyến.

HarmonyBroadcasts

Câu hỏi

Có cách nào để bảo mật Hub ngoài việc đóng gói lại và gửi lại cho bất kỳ nơi nào thiết bị không an toàn đến từ đâu không?


2
Đây không phải là nơi để báo cáo lỗi :) Hoặc thực sự, chúng ta có nên bao gồm các lỗ hổng bảo mật và cách khai thác chúng như chủ đề không?
Sean Houlihane

3
@SeanHoulihane Tôi không muốn khai thác nó, tôi muốn bảo mật nó nếu có thể.
Helmar

Mặc dù đây chắc chắn là IoT và theo chủ đề, nhưng đừng quên rằng các câu hỏi bảo mật đôi khi có thể nhận được phản hồi tốt hơn tại security.stackexchange.com - đó là một cuộc gọi khó khăn để quyết định nơi đăng bài
Mawg nói rằng hãy khôi phục lại

1
@Helmar: Bạn đã bao giờ nhận được phản hồi từ Logitech về điều này chưa?
Aurora0001

2
@ Aurora0001 Cho đến nay, đó là một trận chiến đang diễn ra.
Helmar

Câu trả lời:


3

Bạn có thể thiết lập tường lửa cục bộ, nhưng cách tốt nhất của bạn là đặt nó trên một mạng WiFi bảo mật riêng dành riêng cho các thiết bị IoT (nếu bạn không tin tưởng các thiết bị khác trên mạng của mình).

Nó an toàn với thế giới bên ngoài; nó chỉ không an toàn tại địa phương.


2
Bạn có thể giải thích làm thế nào phân vùng này cải thiện tình hình? Tôi cho rằng bạn có thể giới hạn vlan ở một địa chỉ MAC duy nhất, có thể chặn các thiết bị giả mạo kết nối.
Sean Houlihane

1
@SeanHoulihane (Xin lỗi vì trả lời trễ) rất nhiều người (khách, gia đình, v.v.) truy cập WiFi của bạn. Các bot cực kỳ dễ dàng xâm nhập vào các thiết bị này, lấy mật khẩu WiFi và sau đó truy cập WiFi của bạn. Mật khẩu cho mạng WiFi là bảo mật tốt nhất của bạn, vì vậy việc tách mạng WiFi sẽ ngăn mọi người lấy mật khẩu của bạn.
Nate D

2
Ý tôi là, bạn nên chỉnh sửa câu trả lời của mình để rõ ràng hơn những gì bạn đang bảo vệ chống lại và cách hành động được đề xuất của bạn cải thiện tình hình. Cụ thể, lỗ hổng được mô tả trong câu hỏi được giải quyết như thế nào.
Sean Houlihane
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.