Harmony Hub Security

9

Oggi, probabilmente, sono incappato in una grave falla nella sicurezza della mia installazione domotica.

Scenario

Ho installato il progetto ha bridge github sul mio Raspberry Pi, principalmente per vedere cosa può fare. Ho letteralmente seguito i primi passi, scaricando e avviando la habridge . Con mia grande sorpresa, il mio Logitech Harmony Hub sembra condividere liberamente tutte le sue informazioni con il nuovo bridge. Non ho inserito alcuna credenziale. L'unica cosa che ho fornito era l'indirizzo IP di Harmony e un nome di dispositivo falso (ovvero il mio hub ha in realtà un altro nome visualizzato per tutti gli scopi di Logitech e Alexa).

SharingHarmonyHub

L'Hub non solo condivide informazioni su tutti i dispositivi configurati, ma consente anche di attivare liberamente tali attività. L'ho provato, funzionano magnificamente.

EveryonePushButtons

Ho cercato sia nel programma desktop che nell'app mobile. Nessuno dei due sembra offrire alcun modo per attivare eventuali opzioni di sicurezza.

Quando guardo nel ceppo della habridge, sembra anche che Harmony trasmetta apparentemente tutto ciò che accade. Le attività che possono essere visualizzate lì (meno l'ID ritagliato) sono state attivate dall'app Harmony. C'è anche un battito cardiaco che informa immediatamente il mio habridge quando l'hub è offline.

HarmonyBroadcasts

Domanda

Esiste un modo per proteggere quell'hub oltre a imballarlo e inviarlo di nuovo da qualsiasi luogo che provenga da dispositivi non sicuri?

security  logitech-harmony 
Helmar
fonte
2
Questo non è il posto per segnalazioni di bug :) O in realtà, dovremmo includere gap di sicurezza spalancati e come sfruttarli come argomento?
Sean Houlihane,
3
@SeanHoulihane Non voglio sfruttarlo, voglio proteggerlo se possibile.
Helmar
Anche se questo è sicuramente IoT e argomento, non dimenticare che i quesitoni di sicurezza a volte potrebbero ottenere una risposta migliore su security.stackexchange.com - è una decisione difficile decidere dove pubblicare
Mawg dice di ripristinare Monica
1
@Helmar: hai mai ricevuto una risposta da Logitech a riguardo?
Aurora0001
2
@ Aurora0001 Fino ad ora, è una battaglia in corso.
Helmar

Risposte:

3

Potresti impostare un firewall locale, ma la soluzione migliore è metterlo su una rete WiFi sicura separata dedicata ai dispositivi IoT (se non ti fidi degli altri dispositivi sulla tua rete).

È sicuro al mondo esterno; è insicuro solo localmente.

Nate D
fonte
2
Puoi approfondire come questo partizionamento migliora la situazione? Suppongo che potresti limitare la vLAN a un singolo indirizzo MAC, il che potrebbe bloccare la connessione di dispositivi non autorizzati.
Sean Houlihane,
1
@SeanHoulihane (Ci scusiamo per la risposta tardiva) molte persone (ospiti, famiglia, ecc.) Visitano il tuo WiFi. È estremamente facile per i robot hackerare questi dispositivi, ottenere la tua password WiFi e quindi accedere al tuo WiFi. Le password per le reti WiFi sono la tua migliore sicurezza, quindi la separazione delle reti WiFi impedisce alle persone di ottenere la tua password.
Nate D,
2
Volevo dire, dovresti modificare la tua risposta in modo che sia più chiaro da cosa stai proteggendo e in che modo l'azione proposta migliora la situazione. In particolare, come viene descritta la vulnerabilità nella domanda.
Sean Houlihane,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.