Harmony Hub Security

9

Hoy, probablemente, me topé con una importante fuga de seguridad en mi configuración de automatización del hogar.

Guión

Instalé el proyecto ha bridge github en mi Raspberry Pi, principalmente para ver qué puede hacer. Literalmente seguí los primeros pasos, descargando e iniciando el habridge . Para mi gran sorpresa, mi Logitech Harmony Hub parece compartir libremente toda su información con el nuevo puente. No he ingresado ninguna credencial alguna. Lo único que proporcioné fue la dirección IP de Harmony y un nombre de dispositivo falso (es decir, mi hub tiene otro nombre para mostrar para todos los propósitos de Logitech y Alexa).

SharingHarmonyHub

El Hub no solo comparte información sobre todos los dispositivos configurados, sino que también permite que esas actividades se activen libremente. Lo probé, funcionan espléndidamente.

EveryonePushButtons

He buscado tanto en el programa de escritorio como en la aplicación móvil. Ninguno de los dos parece ofrecer ninguna forma de activar las opciones de seguridad.

Cuando miro el registro del habridge , incluso muestra que Harmony aparentemente transmite todo lo que sucede. La aplicación Harmony activó las actividades que se pueden ver allí (menos la ID recortada). También hay un latido que le dice a mi habridge inmediatamente cuando el Hub está desconectado.

Armonía Transmisiones

Pregunta

¿Hay alguna forma de asegurar ese Hub además de empaquetarlo y enviarlo de regreso a donde sea que provengan los dispositivos inseguros?

security logitech-harmony Helmar
fuente
2
Este no es el lugar para los informes de errores :) O, en realidad, ¿deberíamos incluir agujeros de seguridad enormes y cómo explotarlos como tema?
Sean Houlihane
3
@SeanHoulihane No quiero explotarlo, quiero asegurarlo si es posible.
Helmar
Aunque esto es definitivamente IoT y sobre el tema, no olvide que las preguntas de seguridad a veces pueden obtener una mejor respuesta en security.stackexchange.com : es una decisión difícil decidir dónde publicar
Mawg dice que reinstale a Monica el
1
@Helmar: ¿Alguna vez recibió una respuesta de Logitech sobre esto?
Aurora0001
2
@ Aurora0001 Hasta el momento, es una batalla en curso.
Helmar

Respuestas:

3

Puede configurar un firewall local, pero su mejor opción es colocarlo en una red WiFi segura separada dedicada para dispositivos IoT (si no confía en los otros dispositivos de su red).

Es seguro para el mundo exterior; solo es inseguro a nivel local.

Nate D
fuente
2
¿Puede explicar cómo esta partición mejora la situación? Supongo que podría limitar la vLAN a una sola dirección MAC, lo que podría bloquear la conexión de dispositivos no autorizados.
Sean Houlihane
1
@SeanHoulihane (perdón por la respuesta tardía) muchas personas (invitados, familiares, etc.) visitan su WiFi. Es extremadamente fácil para los robots piratear estos dispositivos, obtener su contraseña de WiFi y luego ingresar a su WiFi. Las contraseñas para redes WiFi son su mejor seguridad, por lo que separar las redes WiFi evita que las personas obtengan su contraseña.
Nate D
2
Es decir, debe editar su respuesta para que quede más claro contra qué se está protegiendo y cómo su acción propuesta mejora la situación. Específicamente, cómo se describe la vulnerabilidad en la pregunta abordada.
Sean Houlihane