Как здесь, так и на форуме неоднократно поднималась тема того, что Z-Way никак не защищён, нет даже примитивной base-аутентификации. Поставщик на жто всегда отвечает, что "мы подразумеваем, что ваша сеть является безопасной". Однако, выясняется, что это не является препятствием, опубликована статья про возможность атаки Z-Way с помощью cross-origin запросов от внешней страницы, которая открыта во внутренней сети в браузере.

http://randywestergren.com/attacking-z-way-controlled-home-automation-devices/

По этому поводу уже есть перепечатка на Treatpost https://threatpost.com/home-automation-protocol-z-way-vulnerable-to-remote-attacks/112720

Вообще ZWave.me собирается что-то предпринимать по этому поводу. Я вот никак не ожидал, что CORS включен и запросы может посылать Вася Пупкин с любой страницы вообще, стоит ему только написать соответствующий скрипт на 10 строк - и вот уже открывается моя входная дверь и выключется сирена. Как-то это всё очень некомфортно.

В 2.0.1 на этапе установки запрашивается пароль, но означает ли это, что запросы к REST API будут требовать атунтификацию, очень хотелось бы услышать что-то по этому поводу.

задан 30 Май '15, 22:58

azimarev's gravatar image

azimarev
139527
процент согласия: 18%

CORS атака это интересный вариант. Такой JS скрипт после сканирования, может еще и злоумышленнику отправить результаты скана и даже устроить своеобразный бэкдор к http ресурсам локалки.

И базовую авторизацию для API конечно бы хотелось видеть.

(31 Май '15, 22:06) Vallefor Vallefor's gravatar image

В текущих rc версиях уже есть OAuth2 аутентификация, которую мы собираемся окончательно включить в релизе в этом месяце. Так что проблема уже фактически решена.

Причина возможности атаки (мы об этом знаем с самого начала - это фича, а не баг) в том, что для создания собственных HTML приложений, загружаемых не с Z-Way нужно иметь возможность отправлять запросы на Z-Way.

ссылка

отвечен 01 Июн '15, 14:49

PoltoS's gravatar image

PoltoS ♦♦
5731412
процент согласия: 27%

Ваш ответ
toggle preview

Следить за этим вопросом

По почте:

Авторизовавшись, здесь Вы сможете подписаться на обновления по этому вопросу.

По RSS:

Ответы

Ответы и комментарии

Основы размётки

  • *курсив* или _курсив_
  • **жирный** или __жирный__
  • ссылка:[текст](http://url.com/ "Суть вопроса")
  • картинка?![alt текст](/path/img.jpg "Суть вопроса")
  • нумерованый список: 1. Foo 2. Bar
  • чтобы добавить перенос строки в тексте, сделайте два переноса строки в редакторе
  • базовые теги HTML также поддерживаются

Теги к вопросу:

×158
×33

Задан: 30 Май '15, 22:58

Просмотров: 1,361 раз

Отредактирован: 01 Июн '15, 14:49

powered by OSQA