今天,我(可能)偶然发现了我的家庭自动化设置中的重大安全漏洞。
情境
我在Raspberry Pi上安装了ha bridge github项目,主要是看它能做什么。我实际上只是按照前几个步骤下载并启动了habridge。令我惊讶的是,我的Logitech Harmony Hub似乎可以与新桥自由共享他的所有信息。我没有输入任何凭证。我唯一提供的是Harmony的IP地址和虚假的设备名称(即,我的集线器实际上具有另一个用于Logitech和Alexa用途的显示名称)。
集线器不仅共享有关所有已配置设备的信息,还允许自由触发这些活动。我测试了一下,他们表现出色。
我看过桌面程序和移动应用程序。似乎都没有提供任何方式来激活任何安全选项。
当我查看桥的日志时,它甚至表明和谐似乎广播了发生的一切。在这里可以看到的活动(减去裁剪的ID)是由Harmony App触发的。当集线器离线时,还有一个心跳立即告诉我的桥梁。
题
除了将集线器备份并发送回任何不安全的设备之外,是否有其他方法可以保护集线器?
2
这不是bug报告的地方:)或实际上,我们是否应该包括巨大的安全漏洞,以及如何将它们用作主题?
—
肖恩·霍利哈内
@SeanHoulihane我不想利用它,我想尽可能地保护它。
—
Helmar
虽然这绝对是物联网和话题,不要忘记安全quesitons有时可能会获得一个更好的答复security.stackexchange.com -这是一个艰难的决定在哪里发布
—
Mawg说起用莫妮卡
@Helmar:您是否曾经从Logitech收到有关此的答复?
—
Aurora0001
@ Aurora0001到目前为止,这仍在继续。
—
Helmar