Harmony Hubのセキュリティ

9

今日、私は(おそらく)ホームオートメーションのセットアップで重大なセキュリティリークに遭遇しました。

シナリオ

Raspberry Piにha bridge githubプロジェクトをインストールし、主に何ができるかを確認しました。文字通り、最初のいくつかのステップに従ってhabridgeをダウンロードして起動しました。驚いたことに、私のLogitech Harmony Hubは彼のすべての情報を新しい橋と自由に共有しているようです。資格情報をまったく入力していません。私が提供した唯一のものは、HarmonyのIPアドレスと偽のデバイス名でした(つまり、私のハブには、LogitechとAlexaのすべての目的で実際に別の表示名が付いています)。

SharingHarmonyHub

ハブは、構成されたすべてのデバイスに関する情報を共有するだけでなく、それらのアクティビティを自由にトリガーすることもできます。私はそれをテストしました、彼らは素晴らしい働きをします。

EveryonePushButtons

デスクトッププログラムとモバイルアプリの両方を調べました。どちらも、セキュリティオプションをアクティブにする方法を提供していないようです。

ハブリッジのログを見ると、ハーモニーが発生したすべてのことを明らかにブロードキャストしていることがわかります。そこで見ることができるアクティビティ(トリミングされたIDを除く)は、Harmonyアプリによってトリガーされました。ハブがオフラインになるとすぐにハブリッジに知らせるハートビートもあります。

ハーモニー放送

質問

ハブをパッケージ化して、安全でないデバイスの元の場所に送り返す以外に、ハブを保護する方法はありますか?

security  logitech-harmony 
ヘルマー
ソース
2
これはバグレポートの場所ではありません:)または、実際に、ギャップのあるセキュリティホールと、それらをオントピックとして悪用する方法を含める必要がありますか?
Sean Houlihane 2017年
3
@SeanHoulihane悪用したくないので、できればセキュリティを確保したい。
ヘルマー
これは間違いのIoTで、上のトピックが、そのセキュリティquesitonsは時々でより良い返事を得る可能性があります忘れないでくださいsecurity.stackexchange.comそれはPostに決定するタフな呼び出しです-
MawgはREINSTATEモニカ言う
1
@ヘルマー:ロジクールからこれについて返信を受け取ったことはありますか?
Aurora0001
2
@ Aurora0001現時点では、これは進行中の戦いです。
ヘルマー

回答:

3

ローカルファイアウォールをセットアップすることもできますが、最善の策は、それをIoTデバイス専用の別の安全なWiFiネットワークに置くことです(ネットワーク上の他のデバイスを信頼していない場合)。

それは外界に対して安全です。ローカルでのみ安全ではありません。

ネイトD
ソース
2
このパーティショニングがどのように状況を改善するかについて詳しく説明できますか?不正なデバイスの接続をブロックする可能性のある単一のMACアドレスにvLANを制限できると思います。
Sean Houlihane 2017
1
@SeanHoulihane(返信が遅くなって申し訳ありません)多くの人(ゲスト、家族など)がWiFiにアクセスします。ボットがこれらのデバイスに侵入し、WiFiパスワードを取得してから、WiFiに侵入するのは非常に簡単です。WiFiネットワークのパスワードは最高のセキュリティです。そのため、WiFiネットワークを分離すると、ユーザーがパスワードを入手するのを防ぐことができます。
Nate D
2
つまり、保護対象を明確にし、提案されたアクションがどのように状況を改善するかについて、回答を編集する必要があります。具体的には、質問で説明されている脆弱性はどのように対処されますか。
Sean Houlihane 2017
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.