Hul i smart-stikkontakt fra Belkin

Bitdefender har lokaliseret flere sårbarheder i en smart-stikkontakt fra Belkin.

Der er dukket flere sårbarheder op i smart-stikkontakten Belkin WeMo insight.

Sådan en enhed kan eksempelvis bruges til at slukke og tænde for lyset med fra en mobiltelefon.

Det er den rumænske it-sikkerhedsvirksomhed Bitdefender, der har gjort opdagelsen, som virksomheden fortæller mere om her.

Der er tale om to sårbarheder, der ifølge en pressemeddelelse fra virksomheden gør det muligt for en angriber på samme netværk som Belkin-produktet at styre og overvåge enheden.

Bagdøre kan placeres

Den ene sårbarhed gør det muligt at eksekvere kode på enheden ved at have adgang til samme netværk.

Den anden sårbarhed kan give root-adgang til enhedens filsystem, forudsat der er fysisk adgang til enheden.

Sårbarhederne er opsummeret i CVE-2019-17094.

Ifølge beskrivelsen hos Bitdefender – hvor der også er et link til et white paper om problemerne – så kan en målrettet angriber blandt andet placere en bagdør på et sårbart Belkin-produkt.

Hullerne er nu lukket via en patch. Det fortæller Belkin mere om her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Sørensen

Jeg købte dette produkt billigt under et restudsalg, men det tog mindre end 10 minutters test at finde ud af at det bare skulle til elektronikskrot. Mage til elendig software skal man lede længe efter. Nu kiggede jeg ikke på sikkerheden bag, men app'en var enormt tung og crashede jævnligt så det gav et generelt indtryk af dårlig kvalitet, og så overrasker det mig heller ikke hvis sikkerheden bag halter på flere punkter.

Når det så er sagt, så har jeg generelt ikke meget fidus til iot-produkter som kræver at al kontrol skal gå gennem en dedikeret server og producentens egen app. Det betyder at man er bundet på hænder og fødder og hvis producenten beslutter sig for at de ikke gider at supportere produktet længere, så kan de lukke ned for serveren og app'en hvorefter de produkter man har købt kun kan bruges som bogstøtter (eller dørstoppere, for der er ikke så mange der læser bøger længere). Det betød også at hvis din internetforbindelse er nede, så kan du ikke længere styre kontakten fordi app'en ikke fungerer hvis du ikke kunne logge på. Det er ikke særligt heldigt design. Det er dog et par år siden jeg prøvede så det kan godt være at det er blevet bedre siden da.

  • 1
  • 0
Log ind eller Opret konto for at kommentere