Harmony Hub-Sicherheit

9

Heute bin ich - wahrscheinlich - auf ein großes Sicherheitsleck in meinem Hausautomations-Setup gestoßen.

Szenario

Ich habe das ha Bridge Github-Projekt auf meinem Raspberry Pi installiert , hauptsächlich um zu sehen, was es kann. Ich habe buchstäblich nur die ersten Schritte befolgt, das Habbatter heruntergeladen und gestartet . Zu meiner großen Überraschung scheint mein Logitech Harmony Hub alle seine Informationen frei mit der neuen Brücke zu teilen. Ich habe keinerlei Anmeldeinformationen eingegeben. Das einzige, was ich angegeben habe, war die IP-Adresse der Harmony und ein falscher Gerätename (dh mein Hub hat tatsächlich einen anderen Anzeigenamen für alle Logitech- und Alexa-Zwecke).

SharingHarmonyHub

Der Hub teilt nicht nur Informationen über alle konfigurierten Geräte, sondern ermöglicht auch das freie Auslösen dieser Aktivitäten. Ich habe es getestet, sie funktionieren hervorragend.

EveryonePushButtons

Ich habe sowohl im Desktop-Programm als auch in der mobilen App nachgesehen. Beides scheint keine Möglichkeit zu bieten, Sicherheitsoptionen zu aktivieren.

Wenn ich in das Protokoll des Habridge schaue , zeigt es sogar, dass die Harmony anscheinend alles sendet, was passiert. Die dort sichtbaren Aktivitäten (abzüglich zugeschnittener ID) wurden von der Harmony App ausgelöst. Es gibt auch einen Herzschlag, der meinem Habridge sofort mitteilt, wenn der Hub offline ist.

HarmonyBroadcasts

Frage

Gibt es eine Möglichkeit, diesen Hub zu sichern, außer ihn wieder zu verpacken und an unsichere Geräte zurückzusenden?

security  logitech-harmony 
Helmar
quelle
2
Dies ist nicht der richtige Ort für Fehlerberichte :) Oder sollten wir tatsächlich klaffende Sicherheitslücken einschließen und wie man sie als themenbezogen ausnutzt?
Sean Houlihane
3
@ SeanHoulihane Ich möchte es nicht ausnutzen, ich möchte es wenn möglich sichern.
Helmar
Obwohl dies definitiv IoT und themenbezogen ist, vergessen Sie nicht, dass Sicherheitsfragen manchmal eine bessere Antwort auf security.stackexchange.com erhalten - es ist eine schwierige Entscheidung, wo zu posten ist
sagt Mawg, Monica am
1
@Helmar: Hast du jemals eine Antwort von Logitech dazu bekommen?
Aurora0001
2
@ Aurora0001 Bis jetzt ist es ein andauernder Kampf.
Helmar

Antworten:

3

Sie können eine lokale Firewall einrichten. Am besten stellen Sie sie jedoch in ein separates sicheres WLAN-Netzwerk für IoT-Geräte (wenn Sie den anderen Geräten in Ihrem Netzwerk nicht vertrauen).

Es ist sicher für die Außenwelt; es ist nur lokal unsicher.

Nate D.
quelle
2
Können Sie näher erläutern, wie diese Partitionierung die Situation verbessert? Ich nehme an, Sie könnten das vLAN auf eine einzelne MAC-Adresse beschränken, wodurch die Verbindung von unerwünschten Geräten blockiert werden könnte.
Sean Houlihane
1
@ SeanHoulihane (Entschuldigung für die späte Antwort) Viele Leute (Gäste, Familie usw.) besuchen Ihr WiFi. Es ist extrem einfach für Bots, sich in diese Geräte zu hacken, Ihr WLAN-Passwort zu erhalten und dann in Ihr WLAN zu gelangen. Passwörter für WiFi-Netzwerke sind Ihre beste Sicherheit. Durch die Trennung der WiFi-Netzwerke wird verhindert, dass Personen Ihr Passwort erhalten.
Nate D
2
Ich meinte, Sie sollten Ihre Antwort so bearbeiten, dass klarer wird, wovor Sie sich schützen und wie Ihre vorgeschlagene Maßnahme die Situation verbessert. Wie wird insbesondere die in der Frage beschriebene Sicherheitsanfälligkeit behandelt?
Sean Houlihane
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.