Comcast Xfinityのホームセキュリティシステムの脆弱性により、ハッカーは泥棒になる

セキュリティ研究者は、ComcastのXfinityホームセキュリティ製品の欠陥を発見し、攻撃者がシステムを騙して、ドアや窓が安全であると思うようにすることができるようにしました。

Comcastが「総家庭のセキュリティと自動化ソリューション」として市場に出ているセキュリティシステムは、ドアや窓が開けられたときの警告と警告、家全体のリアルタイムの視覚的監視を提供します。このサービスは、NestカメラやLutron照明制御などの既存のスマートホーム製品と統合されています。

しかし、セキュリティ会社Rapid7は、このシステムは侵入者が家にいるかどうかを検出しないことで、セキュリティシステムを誤った安全感に陥れる根本的な欠陥があると述べた。

この欠陥を発見したRapid7のPhil Boscoは、この問題は、Xfinityシステムが使用するZigBeeワイヤレス通信プロトコルがどのように根付いているかを説明していると説明しています。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

2.4Ghzの一般家庭帯域で動作するセキュリティシステムのワイヤレスベースステーションが、家の周りのスマートセンサーとの通信を失うと、システムは「オープン」に失敗します。これは攻撃が進行中であると想定せず、引き続き侵入者が家にいる場合でも、「動きは検出されない」という報告を維持する。

セキュリティシステムは、通常、「閉鎖」に失敗するように設計されており、最悪の場合のシナリオをとり、攻撃が進行中であると仮定して、家の所有者に問題を警告する。また、近所に停電があると、ほとんどの警報システムが鳴るのです。

ボスコ氏は、無線妨害攻撃をシミュレートし、問題を確認したと語った。

11月末に個人的にコムキャストに欠陥を報告したセキュリティ会社は、セキュリティシステムが「数分から3時間まで」オープン状態にとどまることができるブログ記事で述べている。

この欠陥の詳細は、迅速にセキュリティ上の欠陥を修正するために企業に個人的に警告することを目的としたRapid7の公開ポリシーに沿って、火曜日に公開された。

Carnegie Mellon Universityの公開脆弱性データベース(CERT)が提出した勧告は、この問題に対する「実用的な解決策」がないことを確認しました。ボスコ氏によれば、Comcastはこの欠陥を修正するためにファームウェアアップデートを公開しなければならない可能性が高いという。

CIAが暗号化バックドアを望んでいるのは、知性ではなくリーダーシップに欠けている理由です。データへのバックドアアクセスを拒否するAppleは罰金に遭うかもしれませんが、NSAはデータで圧倒されてしまい、効果がなくなっています。議会で「恐怖とパニック」、マイクロソフトのデータケースが米国のハイテク産業を解明する方法、「隠すものは何もない」場合はここでパスワードを送信する場所、データをNSAに提供する影のあるテクニカルブローカーに会う

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

Rapid7の広報担当者は同社が複数の電子メールアドレスで個人的にこの脆弱性をComcastに報告しようとしたが、ケーブルとメディアの巨人は応答しなかったことを確認した。

Rapid7のリサーチマネージャーTod Beardsleyは、電子メールで、セキュリティ製品であるよう設計されたものであっても、Internet of Thingsデバイスの欠陥の広範な問題を強調した。

Rapid7は、脆弱性情報の習慣的な開示として、悪質なニュースを受け取ることは不快なことを理解しており、現代的で成熟した脆弱性開示プロセスのプロセスを通じてベンダーを支援するためにできることをしようとしています。 Rapid7とCERTの間では、機密性の高いセキュリティ問題を報告する人物を頻繁に見つけることができますが、時には私たちの努力がうまくいっていないこともあります。

Comcastの広報担当者が声明の脆弱性を確認した

広報担当者は、「当社の家庭用セキュリティシステムは、国内トップの家庭セキュリティプロバイダと同じ高度な業界標準テクノロジを使用しています」と述べています。この問題は、ドア、窓およびその他のセンサにワイヤレス接続を使用するすべてのホームセキュリティシステムコミュニケーションをとること。

Comcast氏は次のように述べています。「この調査を検討しており、他の業界パートナーや主要プロバイダーと積極的に協力して、顧客や業界に役立つ可能性のあるソリューションを特定します。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

続きを読む