Harmony Hub Security

9

Сегодня я, вероятно, наткнулся на серьезную утечку безопасности в моей домашней автоматизации.

сценарий

Я установил на своем Raspberry Pi проект ha bridge github, в основном, чтобы посмотреть, на что он способен. Я буквально просто выполнил первые несколько шагов, загрузив и запустив хабридж . К моему большому удивлению, мой Logitech Harmony Hub, кажется, свободно делится всей своей информацией с новым мостом. Я не ввел никаких учетных данных вообще. Единственной вещью, которую я предоставил, был IP-адрес Harmony и поддельное имя устройства (т.е. у моего концентратора есть фактически другое отображаемое имя для всех целей Logitech и Alexa).

SharingHarmonyHub

Концентратор не только обменивается информацией обо всех настроенных устройствах, но и позволяет свободно запускать эти действия. Я проверил это, они работают великолепно.

EveryonePushButtons

Я посмотрел как в настольной программе, так и в мобильном приложении. Ни один из них не предлагает какой-либо способ активировать какие-либо параметры безопасности.

Когда я заглядываю в журнал Хабриджа, он даже показывает, что Гармония, очевидно, передает все, что происходит. Действия, которые можно увидеть там (за исключением обрезанного удостоверения личности), были инициированы приложением Harmony. Есть также сердцебиение, которое немедленно сообщает моему хабриджу, когда концентратор отключен.

HarmonyBroadcasts

Вопрос

Есть ли способ обезопасить этот Hub, кроме как упаковать его обратно и отправить обратно туда, откуда поступают небезопасные устройства?

Хельмар
источник
2
Это не место для сообщений об ошибках :) Или, на самом деле, мы должны включить зияющие дыры в безопасности и как использовать их как по теме?
Шон
3
@SeanHoulihane Я не хочу использовать это, я хочу обеспечить это, если это возможно.
Helmar
Хотя это определенно IoT и тематика, не забывайте, что вопросы безопасности могут иногда получить лучший ответ на security.stackexchange.com - это сложный вопрос, чтобы решить, куда отправлять сообщения
Mawg говорит восстановить Monica
1
@ Helmar: Вы когда-нибудь получали ответ от Logitech по этому поводу?
Aurora0001
2
@ Aurora0001 Пока что битва продолжается.
Helmar

Ответы:

3

Вы можете настроить локальный брандмауэр, но лучше всего разместить его в отдельной защищенной сети Wi-Fi, предназначенной для устройств IoT (если вы не доверяете другим устройствам в вашей сети).

Это безопасно для внешнего мира; это только небезопасно на местном уровне.

Нейт Д
источник
2
Можете ли вы рассказать, как такое разбиение улучшает ситуацию? Я полагаю, вы можете ограничить виртуальную локальную сеть одним MAC-адресом, который может заблокировать подключение неконтролируемых устройств.
Шон
1
@ SeanHoulihane (извините за поздний ответ) многие люди (гости, семья и т. Д.) Посещают ваш WiFi. Для ботов очень легко взломать эти устройства, получить пароль WiFi, а затем войти в WiFi. Пароли для сетей WiFi - ваша лучшая безопасность, поэтому разделение сетей WiFi не позволяет людям получить ваш пароль.
Нат D
2
Я имел в виду, что вы должны отредактировать свой ответ, чтобы было яснее, от чего вы защищаете, и как ваше предлагаемое действие улучшает ситуацию. В частности, как описывается уязвимость, описанная в вопросе.
Шон