Harmony Hub Security

9

Hoje eu - provavelmente - me deparei com um grande vazamento de segurança na minha configuração de automação residencial.

Cenário

Instalei o projeto ha bridge github no meu Raspberry Pi, principalmente para ver o que ele pode fazer. Eu literalmente apenas segui os primeiros passos, baixando e iniciando o habridge . Para minha grande surpresa, meu Logitech Harmony Hub parece compartilhar livremente todas as suas informações com a nova ponte. Não inseri nenhuma credencial. A única coisa que forneci foi o endereço IP do Harmony e um nome de dispositivo falso (ou seja, meu hub tem outro nome de exibição para todos os fins da Logitech e Alexa).

SharingHarmonyHub

Além de compartilhar informações sobre todos os dispositivos configurados, o Hub também permite que essas atividades sejam acionadas livremente. Eu testei, eles funcionam esplêndido.

EveryonePushButtons

Eu olhei no programa de desktop e no aplicativo móvel. Nenhum dos dois parece oferecer uma maneira de ativar as opções de segurança.

Quando olho para o tronco da ponte , até mostra que o Harmony aparentemente transmite tudo o que acontece. As atividades que podem ser vistas lá (menos ID cortado) foram acionadas pelo aplicativo Harmony. Há também um batimento cardíaco que informa à minha ponte imediatamente quando o Hub está offline.

HarmonyBroadcasts

Questão

Existe alguma maneira de proteger esse Hub além de empacotá-lo e enviá-lo de volta para onde os dispositivos inseguros vêm?

Helmar
fonte
2
Este não é o lugar para os relatórios de erros :) Ou, na verdade, devemos incluir brechas de segurança e como explorá-las como no tópico?
Sean Houlihane
3
@SeanHoulihane Não quero explorá-lo, quero protegê-lo, se possível.
Helmar
Embora essa seja definitivamente a IoT e o tópico, não esqueça que as questões de segurança às vezes podem obter uma resposta melhor em security.stackexchange.com - é uma decisão difícil de decidir onde postar
Mawg diz que restabelece Monica no dia
11
@ Helmar: Você já recebeu uma resposta da Logitech sobre isso?
Aurora0001
2
@ Aurora0001 Até agora, é uma batalha em andamento.
Helmar

Respostas:

3

Você pode configurar um firewall local, mas sua melhor aposta é colocá-lo em uma rede Wi-Fi segura separada, dedicada para dispositivos IoT (se você não confiar nos outros dispositivos da sua rede).

É seguro para o mundo exterior; é inseguro apenas localmente.

Nate D
fonte
2
Você pode elaborar como esse particionamento melhora a situação? Suponho que você possa limitar a vLAN a um único endereço MAC, o que pode impedir a conexão de dispositivos não autorizados.
Sean Houlihane
11
@SeanHoulihane (desculpe pela resposta tardia) muitas pessoas (convidados, família, etc.) visitam seu Wi-Fi. É extremamente fácil para os bots invadir esses dispositivos, obter sua senha de WiFi e entrar no seu WiFi. As senhas para redes Wi-Fi são sua melhor segurança, portanto, separar as redes Wi-Fi impede que as pessoas obtenham sua senha.
Nate D
2
Quero dizer, você deve editar sua resposta para que fique mais claro contra o que está protegendo e como a ação proposta melhora a situação. Especificamente, como a vulnerabilidade é descrita na pergunta abordada.
Sean Houlihane