Miljarder smarta hem-enheter kan vara mottagliga för cyberattacker på grund av en allvarlig sårbarhet som upptäcks i ett nätverksprotokoll.

De CallStranger-sårbarhet låter hackare stjäla användardata, skanna nätverk och starta distribuerade denial-of-service (DDoS) -attacker från många IoT-enheter (Internet of Things).

  • VPN: lägg till ett lager extra skydd tack vare ett virtuellt privat nätverk
  • Bästa antivirusprogrammet: håll dig säkrare online med vattentätt virusskydd
  • Smart-TV, kylskåp och glödlampor kan sluta fungera nästa år: Här är varför

Bland de enhetsmodeller som bekräftades vara sårbara var Xbox ett, ett par Samsung smarta TV-apparater, flera skrivarmodeller från Canon, Epson och HP, och routrar och modem från Broadcom, D-Link och Huawei. Forskaren som upptäckte denna brist tror också att alla nuvarande byggnader av Windows 10 kan vara sårbara.

Sårbarheter i mer än ett dussin andra enheter väntar på bekräftelse.

Upptäckt av säkerhetspersonalen Yunus Çadırcı, påverkar felet ett nätverksprotokoll som heter Universal Plug och Play (UPnP), vilket gör det möjligt för konsumentenheter att enkelt hitta och dela data med varandra på en lokal nätverk.

Enligt en dedikerad webbplats om CallStranger, är sårbarheten ”orsakad av återkallningsrubrikvärde i UPnP PRENUMERATION-funktionen kan kontrolleras av en angripare och möjliggör en SSRF-liknande sårbarhet som påverkar miljontals Internet och miljarder LAN enheter ”.

Webbplatsen förklarar hur hackare kan använda buggen för att kringgå dataförhindrande och nätverkssäkerhetsenheter för att exfiltrera data; använda miljontals Internet-vända UPnP-enheter för att arrangera förstärkta reflekterade DDoS-attacker; och skanna interna nätverksportar från UPnP-enheter som vetter mot internet.

Det första scenariot skulle främst drabba företagsnätverk och andra företagsdistributioner, men de andra två nådde konsumentnivån.

Om dina smarta hem-enheter hackades för att utföra DDoS-attacker skulle din bandbredd drabbas och enheterna skulle antagligen lämnas öppna för andra attacker; om ditt interna nätverk skannades av en extern angripare, kan vilken öppen port som helst användas för att infektera dina enheter.

Miljarder enheter som kan påverkas

Çadırcı uppskattar att sårbarheten kan påverka miljarder enheter eftersom UPnP-sårbarheten påverkar Windows-enheter, Xboxes och de flesta TV-apparater och routrar.

Han fortsatte med att förklara att som eftersom CallStranger-sårbarheten kan utnyttjas för DDoS-attacker, kan botnets börja implementera denna nya teknik genom att komma efter konsumentenheter.

"På grund av de senaste UPnP-sårbarheterna", skrev Çadırcı, "blockerade företag exponerade Internet-UPnP enheter så vi förväntar oss inte att skanna port från Internet till intranät men Intranet2Intranät kan vara ett problem".

Sedan Çadırcı rapporterade CallStranger förra året till Open Connectivity Foundation, som upprätthåller UPnP-protokollet, har stiftelsen släppt uppdateringar för UPnP.

Men han tillade: "Eftersom detta är ett protokollsårbarhet kan det ta lång tid för leverantörer att tillhandahålla korrigeringar."

Hur du skyddar dig mot CallStranger-attacker

Om du är lite tekniskt kunnig har Çadırcı det publicerade ett Python-skript på GitHub som kan användas för att skanna ditt lokala nätverk efter utsatta enheter.

Men det första du bör göra är att gå in i din hemma Wi-Fi-routers administrativa inställningar och hitta och inaktivera UPnP. Varje anständig router bör låta dig stänga av UPnP - om din inte gör det behöver du en bättre router.

Om du hyr din router från din internetleverantör, till exempel kabelföretaget eller det lokala telefonföretaget, ring då deras hjälplinje för hjälp med att inaktivera UPnP på routern.

  • Läs mer: Skydd utan kostnad? Upptäck det bästa gratis VPN

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.