Harmony Hub Security

9

Aujourd'hui, je suis probablement tombé sur une fuite de sécurité majeure dans ma configuration domotique.

Scénario

J'ai installé le projet ha bridge github sur mon Raspberry Pi, principalement pour voir ce qu'il peut faire. J'ai littéralement suivi les premières étapes, en téléchargeant et en démarrant le habridge . À ma grande surprise, mon Logitech Harmony Hub semble partager librement toutes ses informations avec le nouveau pont. Je n'ai saisi aucune information d'identification. La seule chose que j'ai fournie était l'adresse IP de Harmony et un faux nom d'appareil (c'est-à-dire que mon concentrateur a en fait un autre nom d'affichage pour toutes les applications Logitech et Alexa).

SharingHarmonyHub

Non seulement le Hub partage des informations sur tous les appareils configurés, mais il permet également de déclencher librement ces activités. Je l'ai testé, ils fonctionnent à merveille.

Tout le mondePushButtons

J'ai regardé à la fois le programme de bureau et l'application mobile. Aucun des deux ne semble offrir de moyen d'activer les options de sécurité.

Quand je regarde le journal du habridge, cela montre même que l'harmonie diffuse apparemment tout ce qui se passe. Les activités que vous pouvez y voir (moins les ID recadrés) ont été déclenchées par l'application Harmony. Il y a aussi un battement de cœur qui informe mon habridge immédiatement lorsque le hub est hors ligne.

HarmonyBroadcasts

Question

Existe-t-il un moyen de sécuriser ce hub en plus de le sauvegarder et de le renvoyer d'où que viennent les appareils non sécurisés?

security logitech-harmony Helmar
la source
2
Ce n'est pas l'endroit pour les rapports de bugs :) Ou en fait, devrions-nous inclure des trous de sécurité béants et comment les exploiter comme sujet?
Sean Houlihane
3
@SeanHoulihane Je ne veux pas l'exploiter, je veux le sécuriser si possible.
Helmar
Bien que ce soit définitivement l'IoT et le sujet, n'oubliez pas que les questions de sécurité peuvent parfois obtenir une meilleure réponse sur security.stackexchange.com - il est difficile de décider où publier
Mawg dit réintégrer Monica le
1
@ Helmar: Avez-vous déjà reçu une réponse de Logitech à ce sujet?
Aurora0001
2
@ Aurora0001 Pour l'instant, c'est une bataille en cours.
Helmar

Réponses:

3

Vous pouvez configurer un pare-feu local, mais votre meilleur pari est de le placer sur un réseau WiFi sécurisé séparé dédié aux appareils IoT (si vous ne faites pas confiance aux autres appareils de votre réseau).

C'est sûr pour le monde extérieur; ce n'est que peu sûr localement.

Nate D
la source
2
Pouvez-vous expliquer comment ce partitionnement améliore la situation? Je suppose que vous pouvez limiter le vLAN à une seule adresse MAC, ce qui pourrait empêcher les périphériques voyous de se connecter.
Sean Houlihane
1
@SeanHoulihane (Désolé pour la réponse tardive) de nombreuses personnes (invités, famille, etc.) visitent votre WiFi. Il est extrêmement facile pour les bots de pirater ces appareils, d'obtenir votre mot de passe WiFi, puis d'accéder à votre WiFi. Les mots de passe pour les réseaux WiFi sont votre meilleure sécurité, donc la séparation des réseaux WiFi empêche les gens d'obtenir votre mot de passe.
Nate D
2
Je veux dire, vous devez modifier votre réponse afin qu'il soit plus clair contre quoi vous vous protégez et comment votre action proposée améliore la situation. Plus précisément, comment la vulnérabilité décrite dans la question est-elle traitée?
Sean Houlihane