Harmony Hub Security

9

Hari ini saya — kemungkinan — menemukan kebocoran keamanan besar dalam pengaturan otomatisasi rumah saya.

Skenario

Saya memasang proyek ha bridge github pada Raspberry Pi saya, terutama untuk melihat apa yang bisa dilakukannya. Saya benar-benar hanya mengikuti beberapa langkah pertama, mengunduh dan memulai habridge . Yang mengejutkan saya, Logitech Harmony Hub saya sepertinya berbagi semua informasinya dengan jembatan baru dengan bebas. Saya belum memasukkan kredensial apa pun. Satu-satunya yang saya berikan adalah alamat IP Harmony dan nama perangkat palsu (yaitu hub saya sebenarnya memiliki nama tampilan lain untuk semua keperluan Logitech dan Alexa).

SharingHarmonyHub

Hub tidak hanya membagikan informasi tentang semua perangkat yang dikonfigurasi, tetapi juga memungkinkan aktivitas tersebut dipicu secara bebas. Saya mengujinya, mereka bekerja dengan sangat baik.

SemuanyaPushButtons

Saya telah melihat baik program desktop maupun aplikasi seluler. Tampaknya tidak menawarkan cara apa pun untuk mengaktifkan opsi keamanan apa pun.

Ketika saya melihat log dari habridge itu bahkan menunjukkan bahwa Harmony tampaknya menyiarkan semua yang terjadi. Aktivitas yang dapat dilihat di sana (dikurangi ID yang dipangkas) dipicu oleh Aplikasi Harmony. Ada juga detak jantung yang memberitahu habridge saya segera ketika Hub sedang offline.

HarmonyBroadcasts

Pertanyaan

Apakah ada cara untuk mengamankan Hub itu selain mengemasnya kembali dan mengirimkannya kembali ke tempat asal perangkat yang tidak aman?

Helmar
sumber
2
Ini bukan tempat untuk laporan bug :) Atau sebenarnya, haruskah kita memasukkan celah keamanan yang menganga dan bagaimana memanfaatkannya sebagai topik?
Sean Houlihane
3
@SHeHoulihane Saya tidak ingin mengeksploitasinya, saya ingin mengamankannya jika memungkinkan.
Helmar
Meskipun ini pasti IOT dan pada-topik, jangan lupa bahwa pertanyaan keamanan kadang-kadang mendapatkan jawaban yang lebih baik di security.stackexchange.com - ini adalah panggilan yang sulit untuk memutuskan ke mana harus memposting
Mawg mengatakan mengembalikan Monica
1
@Helmar: Apakah Anda pernah mendapat balasan dari Logitech tentang ini?
Aurora0001
2
@ Aurora0001 Sampai sekarang, ini adalah pertempuran yang sedang berlangsung.
Helmar

Jawaban:

3

Anda bisa memasang firewall lokal, tetapi yang terbaik adalah meletakkannya di jaringan WiFi aman terpisah yang didedikasikan untuk perangkat IoT (jika Anda tidak mempercayai perangkat lain di jaringan Anda).

Ini aman untuk dunia luar; itu hanya tidak aman secara lokal.

Nate D
sumber
2
Bisakah Anda menguraikan bagaimana partisi ini meningkatkan situasi? Saya kira Anda dapat membatasi vLAN ke satu alamat MAC, yang mungkin memblokir perangkat jahat dari koneksi.
Sean Houlihane
1
@SeanHoulihane (Maaf atas jawaban yang terlambat) banyak orang (tamu, keluarga, dll) mengunjungi WiFi Anda. Sangat mudah bagi bot untuk meretas ke perangkat ini, mendapatkan kata sandi WiFi Anda, dan kemudian masuk ke WiFi Anda. Kata sandi untuk jaringan WiFi adalah keamanan terbaik Anda, jadi memisahkan jaringan WiFi mencegah orang mendapatkan kata sandi Anda.
Nate D
2
Maksud saya, Anda harus mengedit jawaban Anda sehingga lebih jelas apa yang Anda lindungi, dan bagaimana tindakan yang Anda ajukan memperbaiki situasi. Secara khusus, bagaimana kerentanan yang dijelaskan dalam pertanyaan tersebut diatasi.
Sean Houlihane