कॉमकास्ट एक्सफिनिटी की गृह सुरक्षा प्रणाली को अक्षम करना आसान है, शोधकर्ताओं का दावा करें

केबल दिग्गज का कहना है कि यह उन दावों पर गौर कर रहा है कि जैमिंग सिस्टम के वायरलेस सिग्नल हब से घुसपैठ सेंसर को डिस्कनेक्ट करते हैं।

कॉमकास्ट एक्सफिनिटी की गृह सुरक्षा प्रणाली को अक्षम करना आसान है, शोधकर्ताओं का दावा करें

केबल प्रदाता केवल आपके घर से सूचना और सामग्री को बंद करने वाले गूंगा पाइप की सेवा से अधिक करना चाहते हैं। अपनी पहुंच बढ़ाने का एक तरीका ऑनलाइन होम ऑटोमेशन और होम सिक्योरिटी सिस्टम प्रदान करना है, जैसा कि केबल दिग्गज कॉमकास्ट अपने वायरलेस के साथ करता है एक्सफिनिटी होम भेंट। लेकिन उस प्रणाली को कमजोर करना आसान है, साइबर सुरक्षा फर्म रैपिड 7 की रिपोर्ट, जो दावा करती है कि इसे कमजोरियों के प्रति सचेत करने के लिए कॉमकास्ट तक पहुंचने में कठिनाई हुई थी। कॉमकास्ट का कहना है कि यह दावों पर गौर कर रहा है, यह कहते हुए कि रैपिड 7 ने इसे कथित भेद्यता के प्रति सचेत करने के लिए बहुत प्रयास नहीं किया।



बग रैपिड7 ने आज घोषणा की एक लंबे समय से चली आ रही भेद्यता है जो एक सस्ते रेडियो-जैमिंग डिवाइस को Xfinity सुरक्षा प्रणाली को अक्षम करने की अनुमति देती है। Xfinity Home में ZigBee नामक वायरलेस संचार मानक का उपयोग करने वाले डोर और विंडो सेंसर, मोशन डिटेक्टर और कैमरे होते हैं, जो वाई-फाई के समान 2.4GHz फ़्रीक्वेंसी बैंड पर चलता है लेकिन बिजली बचाता है क्योंकि यह कम डेटा प्रसारित करता है। यह बैटरी से चलने वाले उपकरणों, जैसे एक्सफिनिटी सेंसर और हब को लंबे समय तक चलने की अनुमति देता है; और ZigBee घरेलू सुरक्षा सेंसर द्वारा प्रेषित सूचनाओं के सापेक्ष प्रवाह के लिए भरपूर बैंडविड्थ प्रदान करता है।

जैसा कि कोई भी जिसने कभी वायरलेस डिवाइस का उपयोग किया है, वह जानता है, कनेक्शन कभी-कभी गिर जाते हैं। रैपिड7 का कहना है कि एक्सफिनिटी सुरक्षा के साथ पहली समस्या यह है कि सेंसर को हब से फिर से कनेक्ट होने में तीन घंटे तक का समय लग सकता है। दूसरी समस्या: जब तक वे डिस्कनेक्ट हो जाते हैं, सिस्टम यह सोचने में चूक जाता है कि यह एक सुरक्षित स्थिति में है, दरवाजे और खिड़कियां बंद हैं और घर के चारों ओर कोई हलचल नहीं है। रैपिड 7 के एक बयान के अनुसार, सिस्टम रिपोर्ट करना जारी रखता है, सभी सेंसर बरकरार हैं और सभी दरवाजे बंद हैं। कोई गति नहीं पाई जाती है। तीसरी समस्या: सेंसर के फिर से कनेक्ट होने के बाद भी, वे हब को यह नहीं बता पाते हैं कि रेडियो साइलेंस के दौरान कोई असामान्य गतिविधि हुई थी या नहीं।



वायरलेस नेटवर्क को जाम करना एक मामूली मामला है, क्योंकि वे बेहद विनम्र होने के लिए डिज़ाइन किए गए हैं, जिससे सभी उपकरणों को कूदने का मौका मिलता है। ए वायरलेस जैमर नेटवर्क को शोर से भरकर इसका फायदा उठाता है ताकि किसी अन्य डिवाइस को अंदर जाने का मौका न मिले।



रैपिड 7 के प्रमुख सुरक्षा प्रबंधक टॉड बियर्डस्ले कहते हैं, खबर यह नहीं है कि इन चीजों को जाम किया जा सकता है। खबर यह है कि उन्हें जाम किया जा सकता है, और यह बताने का कोई तरीका नहीं है कि उन्हें जाम कर दिया गया है। वह दो सुधार सुझाता है: बेस स्टेशन को एम्बर अलर्ट जारी करने के लिए जब यह सेंसर से कनेक्शन खो देता है, और सेंसर पर एक लॉग यह रिपोर्ट करने के लिए कि कनेक्शन के डाउन होने पर क्या हुआ। बर्ड्सले कहते हैं, चेतावनी तंत्र की स्पष्ट कमी समस्या का सबसे आश्चर्यजनक हिस्सा है। रैपिड7 का दावा है कि ऐसा कोई समाधान नहीं है जिसे उपयोगकर्ता बग को ठीक करने के लिए लागू कर सकता है और बियर्डस्ले द्वारा सुझाए गए अलर्ट को सक्षम करने के लिए सॉफ़्टवेयर या फ़र्मवेयर अपडेट की आवश्यकता होती है।

दावों के जवाब में, कॉमकास्ट ने बताया एआरएस टेक्निका : हम इस शोध की समीक्षा कर रहे हैं और संभावित समाधानों की पहचान करने के लिए अन्य उद्योग भागीदारों और प्रमुख प्रदाताओं के साथ सक्रिय रूप से काम करेंगे जो हमारे ग्राहकों और उद्योग को लाभान्वित कर सकते हैं।

कॉमकास्ट ने जल्द जवाब क्यों नहीं दिया?

यहां एक और संचार विफलता है - रैपिड 7 और कॉमकास्ट के बीच। सुरक्षा फर्म का कहना है कि उसने 2 नवंबर, 2015 को कॉमकास्ट से संपर्क करने का प्रयास किया; लेकिन इसे कभी जवाब नहीं मिला। 23 नवंबर को, रैपिड7 कहते हैं, इसने भेद्यता की सूचना दी प्रमाणपत्र , कार्नेगी मेलन विश्वविद्यालय में संस्थान जो सुरक्षा कमजोरियों पर नज़र रखने के लिए राष्ट्रीय समाशोधन गृह के रूप में कार्य करता है। (यह होमलैंड सिक्योरिटी विभाग के साथ निकटता से समन्वय करता है।) सीईआरटी ने कॉमकास्ट से संपर्क करने का भी प्रयास किया, बियर्ड्सले कहते हैं।



लेकिन कॉमकास्ट के एक प्रवक्ता ने जोर देकर कहा कि उसने रैपिड 7 से कभी नहीं सुना। कंपनी बताया था एआरएस टेक्निका कि रैपिड7 को एक ईमेल भेजना चाहिए था दुरुपयोग@comcast.net . इसके बजाय रैपिड 7 का इस्तेमाल किया गया दुरुपयोग@xfinity.com (साथ ही साथ सुरक्षा@xfinity.com , सुरक्षित@xfinity.com , info@xfinity.com , support@xfinity.com )

पूरा परिदृश्य कुछ सवाल खड़े करता है। कॉमकास्ट ने सुरक्षा से संबंधित ईमेल पते के किसी भी क्रमपरिवर्तन के लिए अग्रेषण सेट अप क्यों नहीं किया है? और रैपिड7 ने एक विशाल निगम को उसके सुरक्षा उत्पाद में कथित रूप से बड़ी खामी में बदलने के लिए इतना कम प्रयास क्यों किया? क्या रैपिड7 फोन नहीं उठा सका, कॉमकास्ट के कॉर्पोरेट कार्यालय से संपर्क नहीं किया और सुरक्षा संभालने वाले किसी व्यक्ति से बात करने के लिए कहा?

बियर्डस्ले कहते हैं, हम उन्हें ईमेल करने की कोशिश करते हैं। कुछ बाउंस हुए, कुछ नहीं। उनका कहना है कि रैपिड7 ईमेल को प्राथमिकता देता है, क्योंकि यह सुनिश्चित करने के लिए पीजीपी एन्क्रिप्टेड संदेशों का उपयोग कर सकता है कि जानकारी सही व्यक्ति तक पहुंच जाए। मैं कभी नहीं जानता कि मैं किससे फोन पर बात कर रहा हूं, बर्ड्सले कहते हैं। मैं कभी नहीं जानता कि क्या मैं एक वास्तविक कर्मचारी या ठेकेदार या एक कर्मचारी से बात कर रहा हूं जो एक महीने में छोड़ने जा रहा है।



लेकिन क्या वह कॉमकास्ट के अबाउट पेज पर नहीं जा सकता था और सीटीओ का नाम नहीं देख सकता था? मुझे लगता है, हाँ, हम कर सकते थे, बर्ड्सले कहते हैं। (मैं खोजने में सक्षम था सीटीओ टोनी जी वर्नर के लिए जैव लगभग 60 सेकंड में।) मुझे लगता है कि हम cc-ing ... जनसंपर्क शुरू करने जा रहे हैं, वे कहते हैं। वे काफी रिस्पॉन्सिव नजर आ रहे हैं। और कम से कम वहां से हम एक उचित सुरक्षा संपर्क खोजने में सक्षम हो सकते हैं।