Hari ini saya — kemungkinan — menemukan kebocoran keamanan besar dalam pengaturan otomatisasi rumah saya.
Skenario
Saya memasang proyek ha bridge github pada Raspberry Pi saya, terutama untuk melihat apa yang bisa dilakukannya. Saya benar-benar hanya mengikuti beberapa langkah pertama, mengunduh dan memulai habridge . Yang mengejutkan saya, Logitech Harmony Hub saya sepertinya berbagi semua informasinya dengan jembatan baru dengan bebas. Saya belum memasukkan kredensial apa pun. Satu-satunya yang saya berikan adalah alamat IP Harmony dan nama perangkat palsu (yaitu hub saya sebenarnya memiliki nama tampilan lain untuk semua keperluan Logitech dan Alexa).
Hub tidak hanya membagikan informasi tentang semua perangkat yang dikonfigurasi, tetapi juga memungkinkan aktivitas tersebut dipicu secara bebas. Saya mengujinya, mereka bekerja dengan sangat baik.
Saya telah melihat baik program desktop maupun aplikasi seluler. Tampaknya tidak menawarkan cara apa pun untuk mengaktifkan opsi keamanan apa pun.
Ketika saya melihat log dari habridge itu bahkan menunjukkan bahwa Harmony tampaknya menyiarkan semua yang terjadi. Aktivitas yang dapat dilihat di sana (dikurangi ID yang dipangkas) dipicu oleh Aplikasi Harmony. Ada juga detak jantung yang memberitahu habridge saya segera ketika Hub sedang offline.
Pertanyaan
Apakah ada cara untuk mengamankan Hub itu selain mengemasnya kembali dan mengirimkannya kembali ke tempat asal perangkat yang tidak aman?