کیا ہیکرز آپ کے گھر کو اغوا کرسکتے ہیں؟ اپنے ٹوسٹ کو جلاؤ؟

ہوم آٹومیشن بہت عمدہ ہے۔ آپ کو یہ فکر کرنے کی ضرورت نہیں ہے کہ آپ نے کوفی پوٹ آن کر دیا ہو ، یا گیراج کا دروازہ بند کرنا بھول گئے ہوں گے۔ آپ گھر کی جانچ پڑتال کرسکتے ہیں اور کسی بھی پریشانی کو دور کرسکتے ہیں ، چاہے آپ کہیں بھی ہوں۔ لیکن کیا ہوگا اگر کوئی سائبر بدمعاش نظام پر قابو پا سکے؟ IOActive کے محققین نے ایک مقبول گھریلو آٹومیشن سسٹم میں خامیوں کا ایک مجموعہ پایا ، جن خامیوں کو مجرم آسانی سے اقتدار سنبھالنے میں استعمال کرسکتا ہے۔

بیلکن کا ویمو ہوم آٹومیشن سسٹم کسی بھی قسم کے گھریلو الیکٹرانکس کو کنٹرول کرنے کے لئے وائی فائی اور موبائل انٹرنیٹ استعمال کرتا ہے۔ IOActive کی ٹیم کو جو کمزوریاں ملی ہیں وہ حملہ آور کو کسی بھی منسلک آلات کو دور سے کنٹرول کرنے ، فرم ویئر کو اپنے (خراب) ورژن کے ساتھ اپ ڈیٹ کرنے ، کچھ آلات کی دور سے نگرانی کرنے اور ممکنہ طور پر گھریلو نیٹ ورک تک مکمل رسائی حاصل کرنے دیتا ہے۔

پریشانی کا امکان

ویمو آلات کی ایک وسیع صف دستیاب ہے۔ آپ WeMo-واقف ایل ای ڈی بلب ، لائٹ سوئچ حاصل کرسکتے ہیں جو ریموٹ کنٹرول اور استعمال کی نگرانی ، اور ریموٹ کنٹرول آؤٹ لیٹ دونوں پیش کرتے ہیں۔ بیبی مانیٹر ، موشن سینسر ، یہاں تک کہ کام میں ریموٹ کنٹرول سست کوکر بھی ہے۔ وہ سب وائی فائی کے ذریعے جڑتے ہیں ، اور ان سب کو صرف جائز صارفین کے ساتھ ہی جڑنا چاہئے ۔

محققین نے نشاندہی کی کہ آپ کے WeMo نیٹ ورک تک رسائی حاصل کرنے والا ایک بدمعاش ہر چیز کو تبدیل کرسکتا ہے ، جس کے نتیجے میں بجلی کی بربادی سے تلی ہوئی سرکٹ اور کسی ممکنہ طور پر آگ لگ جاتی ہے۔ ایک بار جب ویمو سسٹم موقوف ہو گیا تو ، ایک ہوشیار ہیکر اس رابطے کو گھریلو نیٹ ورک تک مکمل رسائی حاصل کرسکتا ہے۔ پلٹائیں طرف ، بیبی مانیٹر اور موشن سینسر کی خصوصیات یہ ظاہر کریں گی کہ آیا گھر میں کوئی ہے یا نہیں۔ ایک غیر مقصود مکان کچھ حقیقی دنیا کی چوری کے لand ایک گستاخانہ نشانہ ہوتا ہے۔

خامیوں کا مزاح

سسٹم میں پائی جانے والی کمزوریاں تقریبا almost ہنسی کے قابل ہیں۔ فرم ویئر ڈیجیٹل پر دستخط شدہ ، درست ہے ، لیکن دستخط کرنے والی کلید اور پاس ورڈ آلہ میں ہی مل سکتا ہے۔ حملہ آور سلامتی چیکوں کو محرک کئے بغیر صرف اسی چابی کا استعمال کرکے اپنے مذموم ورژن پر دستخط کرنے کے بغیر فرم ویئر کی جگہ لے سکتے ہیں۔

آلات بیلکن کلاؤڈ سروس سے منسلک ہونے میں استعمال ہونے والے سیکیور ساکٹ پرت (SSL) سرٹیفکیٹ کی توثیق نہیں کرتے ہیں۔ اس کا مطلب یہ ہے کہ ایک سائبر کروک بیلکن ماؤں کی نقالی کیلئے کسی بھی بے ترتیب ایس ایس ایل سرٹیفکیٹ کا استعمال کرسکتا ہے۔ محققین کو انٹر ڈیوائس مواصلات پروٹوکول میں بھی خطرات پائے گئے ، جیسے کہ حملہ آور فرم ویئر کو تبدیل کیے بغیر بھی کنٹرول حاصل کرسکتا ہے۔ اور (حیرت!) انہیں بیلکن API میں ایک ایسا خطرہ ملا جس سے حملہ آور کو مکمل کنٹرول حاصل ہو۔

کیا کریں؟

آپ پوچھ سکتے ہیں ، IOActive ان خطرناک انکشافات کو عوام کے سامنے کیوں لا رہا ہے؟ وہ کیوں بیلکن نہیں گئے؟ جیسا کہ یہ پتہ چلتا ہے ، انہوں نے کیا. ابھی انہیں کوئی جواب نہیں ملا۔

اگر آپ ویمو صارفین کے اندازے کے مطابق نصف ملین صارفین میں سے ایک ہیں تو ، IOActive آپ کو مشورہ دیتا ہے کہ اپنے تمام آلات کو فوری طور پر منقطع کردیں۔ یہ تھوڑا سا سخت معلوم ہوسکتا ہے ، لیکن حفاظتی خامیوں کی شدت ، استحصال کی صلاحیت اور بیلکن سے عدم دلچسپی کے پیش نظر ، میں اسے دیکھ سکتا ہوں۔ مکمل تکنیکی تفصیلات کے ل I ، IOActive کی ایڈوائزری آن لائن چیک کریں۔ یہاں تک کہ بیلکن چیزوں کی گرفت میں ہے ، آپ مختلف ہوم آٹومیشن سسٹم کو آزمانے پر غور کرسکتے ہیں۔