贝尔金修正了影响 WeMo 家庭自动化解决方案系列的五 (5) 个潜在漏洞,并已发表在 2 月 18 日的 CERT 报告中。 在发表这份报告前,贝尔金与安全研究人员取得了联系,截至 2 月 18 日,已通过应用内通知和更新发布了以上提到的每个潜在漏洞的修复补丁。 使用最新版本固件(3949 版本)的用户将不会遭受这些恶意固件攻击或者从未授权的设备远程控制或监控 WeMo 设备。 贝尔金敦促广大用户从 App StoreSM (1.4.1 版)或 Google Play™ Store(1.1.2 版)下载最新应用,然后通过此应用升级固件版本。
贝尔金发布的专用修复补丁包括:
1. 2013 年 11 月 5 日发布的 WeMo API 服务器更新,此更新可防止通过访问其他 WeMo 设备来实施 XML 注入攻击。
2. 2014 年 1 月 24 日发布的 WeMo 固件更新,对 WeMo 固件分发源增加了 SSL 加密和验证,消除了在设备上存储签名密钥,对串行端口接口提供了密码保护,以防止恶意固件攻击。 如要了解 WeMo 设备的固件更新,请单击此处。 如要观看如何在 WeMo 设备上更新固件的视频,请单击此处。
Updating the Firmware of your WeMo Device (VIDEO)
|
|
3. 针对 iOS(2014 年 1 月 24 日发布)和 Android™(2014 年 2 月 10 日发布)的 WeMo 应用更新均提供了最新的固件更新。
注: 对于 iOS 用户,可启动 WeMo 应用,然后点击 More(更多)> Settings & About(设置和关于)> Firmware Versions(固件版本)查看此应用的固件版本。